Un error crítico en la biblioteca criptográfica NSS de Mozilla puede afectar a varios otros programas

Mozilla ha publicado correcciones que abordan una vulnerabilidad de seguridad crítica en su biblioteca criptográfica Network Security Services (NSS) que un enemigo podría aprovechar para bloquear una aplicación vulnerable e incluso ejecutar código arbitrario.

El error, que se rastrea como CVE-2021-43527, afecta a las versiones NSS anteriores a 3.73 o 3.68.1 ESR y afecta las vulnerabilidades de desbordamiento del montón al verificar firmas digitales como los algoritmos DSA y RSA-PSS que están codificados usando el formato binario DER. . Tavis Ormandy de Google Project Zero, quien lo llamó «BigSig», fue el responsable de informar del problema.

«Las versiones de Network Security Services (NSS) anteriores a 3.73 o 3.68.1 ESR son vulnerables a desbordamientos de pila cuando se procesan firmas DER o RSA-PSS codificadas con DER», dijo Mozilla en un comunicado publicado el miércoles. «Las aplicaciones que utilizan NSS para procesar firmas codificadas CMS, S / MIME, PKCS # 7 o PKCS # 12 probablemente se vean afectadas».

NSS es una colección de bibliotecas informáticas criptográficas de código abierto diseñadas para permitir el desarrollo multiplataforma de aplicaciones cliente-servidor, con soporte para SSL v3, TLS, PKCS # 5, PKCS # 7, PKCS # 11, PKCS # 12, S / MIME , Certificados X.509 v3 y otros estándares de seguridad.

La falla, una consecuencia de verificar los límites faltantes que podrían permitir el código arbitrario controlado por un atacante, se ha explotado desde junio de 2012. «Esta vulnerabilidad es notable por lo simple que es. «, Dijo Ormandy en el expediente técnico. «Este problema muestra que incluso C / C ++ extremadamente bien mantenido puede tener errores fatales y triviales».

Aunque la falta de BigSig no afecta al navegador web Mozilla Firefox en sí, los clientes de correo electrónico, los navegadores PDF y otras aplicaciones que dependen de NSS para la verificación de firmas, como Red Hat, Thunderbird, LibreOffice, Evolution y Evince, se consideran vulnerables. .

«Este es un error importante de corrupción de memoria en NSS, que afecta a casi todos los usos de NSS», dijo Ormandy. tuiteó. «Si usted es un revendedor que distribuye NSS en sus productos, es posible que deba actualizar o actualizar el parche».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática