Mozilla的NSS加密库爆重大内存漏洞，将影响一批主流软件

Mozilla的NSS加密库爆出重大安全漏洞，可能会影响多个软件，攻击者可以利用该漏洞使应用程序崩溃，甚至能执行任意代码，目前Mozilla已推出针对NSS加密库的修复程序。

该漏洞号为 CVE-2021-43527，由Google报告并取代号为 BigSig，影响 3.73 或 3.68.1 ESR 之前的 NSS 版本，并且在验证使用DER二进制格式编码的DSA和RSA-PSS算法等数字签名时涉及堆溢出漏洞。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，在处理 DER 编码的 DSA 或 RSA-PSS 签名时，3.73 或 3.68.1 ESR 之前版本的 NSS 加密库容易出现堆溢出，使用 NSS 处理在 CMS、S/MIME、PKCS #7 或 PKCS #12 中编码的签名的应用程序可能会受到影响。

NSS 是一组开源加密计算机库，旨在支持客户端-服务器应用程序的跨平台开发，支持 SSL v3、TLS、PKCS #5、PKCS #7、PKCS #11、PKCS #12、S/ MIME、X.509 v3 证书和其他安全标准。

该漏洞是由于缺少边界检查而导致的，该漏洞可能允许执行任意攻击者控制的代码，据说可以追溯到 2012 年 6 月。虽然该漏洞不会影响 Mozilla 的 Firefox 网络浏览器本身，但电子邮件客户端、PDF 查看器和其他依赖 NSS 进行签名验证的应用程序都被认为容易受到该漏洞的威胁。