作为安全客户端 / 服务器应用程序开发的一款工具,NSS 可用于支持 SSL v3、TLS、PKCS #5、PKCS #7、PKCS #11、PKCS #12、S/MIME、X.509 v3 证书,以及其它各种安全标准。然而在 3.73 / 3.68.1 ESR 之前的版本中,Google 安全研究员 Tavis Ormandy 却发现了一个严重的内存破坏漏洞。
截图(来自:Mozilla 官网)
Tavis Ormandy 将这种漏洞称作 BigSig,且现已分配 CVE-2021-43527 这个漏洞披露追踪编号。
若使用易受攻击的 NSS 版本,用户很可能在电子邮件客户端和 PDF 阅读器中处理 DER 编码(DSA)或 RSA-PSS 签名时,遭遇堆缓冲区溢出(heap-based buffer overflow)。
庆幸的是,Mozilla 已在 NSS 3.73 / 3.68.1 ESR 版本中修复了这个 bug 。但未及时打补丁的平台,仍存在程序崩溃、或被攻击者利用于任意代码执行(绕过安全软件)的风险。
Mozilla 在周三发布的一份安全公告中称,使用 NSS 处理 CMS、S/MIME、PKCS #7、PKCS #12 签名编码的各应用程序,都有可能受到 BigSig 漏洞的影响。
此外使用 NSS 开展证书验证(或其它 TLS、X.509、OCSP、CRL 功能)的应用程序,也可能受到一定的影响,具体取决于它们是如何配置的。
Tavis Ormandy 在 Project Zero 漏洞追踪页面上指出,问题可一直追溯到 2012 年 10 月发布的 3.14 版本。
Mozilla 计划生成一份受影响 API 的完整列表,但简单总结就是任何 NSS 的标准使用都会受到影响,该漏洞很容易重现并影响多种算法。
让人松口气的是,Mozilla 声称 CVE-2021-43527 漏洞并未波及 Firefox 网络浏览器。不过所有使用 NSS 进行签名验证的 PDF 阅读器 / 电子邮件客户端,都应该慎重评估。
除了 Mozilla 旗下的 Firefox 网络浏览器 / Thunderbird 邮件客户端 / Firefox OS 移动操作系统 / SeaMonkey 跨平台开源网络套装软件,红帽、SUSE 等公司也有大量产品在使用 NSS 。
最后,Tavis Ormandy 提醒那些在自家产品中分发 NSS 的供应商,也尽快提供更新或向后移植补丁。
网站题目:Mozilla已修复NSS跨平台网络安全服务中的内存破坏漏洞
分享URL:http://www.shufengxianlan.com/qtweb/news49/413899.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联