Mozilla的NSS加密库爆重大内存漏洞,将影响一批主流软件

Mozilla的NSS Crypto库中的关键错误可能会影响其他几个软件

Mozilla的NSS加密库爆出重大安全漏洞,可能会影响多个软件,攻击者可以利用该漏洞使应用程序崩溃,甚至能执行任意代码,目前Mozilla已推出针对NSS加密库的修复程序。

该漏洞号为 CVE-2021-43527,由Google报告并取代号为 BigSig,影响 3.73 或 3.68.1 ESR 之前的 NSS 版本,并且在验证使用DER二进制格式编码的DSA和RSA-PSS算法等数字签名时涉及堆溢出漏洞。

根据网络安全行业门户极牛网GEEKNB.COM的梳理,在处理 DER 编码的 DSA 或 RSA-PSS 签名时,3.73 或 3.68.1 ESR 之前版本的 NSS 加密库容易出现堆溢出,使用 NSS 处理在 CMS、S/MIME、PKCS #7 或 PKCS #12 中编码的签名的应用程序可能会受到影响。

NSS 是一组开源加密计算机库,旨在支持客户端-服务器应用程序的跨平台开发,支持 SSL v3、TLS、PKCS #5、PKCS #7、PKCS #11、PKCS #12、S/ MIME、X.509 v3 证书和其他安全标准。

Mozilla的NSS加密库爆重大内存漏洞,将影响一批主流软件

该漏洞是由于缺少边界检查而导致的,该漏洞可能允许执行任意攻击者控制的代码,据说可以追溯到 2012 年 6 月。虽然该漏洞不会影响 Mozilla 的 Firefox 网络浏览器本身,但电子邮件客户端、PDF 查看器和其他依赖 NSS 进行签名验证的应用程序都被认为容易受到该漏洞的威胁。

 

Mozilla的NSS加密库爆重大内存漏洞,将影响一批主流软件

极牛网精选文章《Mozilla的NSS加密库爆重大内存漏洞,将影响一批主流软件》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/17190.html

(25)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
上一篇 2021年12月1日 上午11:16
下一篇 2021年12月2日 下午2:37

相关推荐

发表回复

登录后才能评论