Mozilla đã tung ra các bản sửa lỗi để giải quyết một điểm yếu bảo mật nghiêm trọng trong thư viện mật mã Dịch vụ An ninh Mạng (NSS) đa nền tảng có thể bị kẻ thù lợi dụng để làm sập một ứng dụng dễ bị tấn công và thậm chí thực thi mã tùy ý.
Được theo dõi là CVE-2021-43527, lỗ hổng này ảnh hưởng đến các phiên bản NSS trước 3.73 hoặc 3.68.1 ESR và liên quan đến lỗ hổng tràn đống khi xác minh chữ ký số như thuật toán DSA và RSA-PSS được mã hóa bằng định dạng nhị phân DER. Có công báo cáo vấn đề là Tavis Ormandy của Google Project Zero, người đã đặt tên mã cho nó là “BigSig.”
“Các phiên bản NSS (Dịch vụ An ninh Mạng) trước ESR 3.73 hoặc 3.68.1 dễ bị tràn đống khi xử lý chữ ký DSA hoặc RSA-PSS được mã hóa DER”, Mozilla cho biết trong một tư vấn được công bố hôm thứ Tư. “Các ứng dụng sử dụng NSS để xử lý chữ ký được mã hóa trong CMS, S / MIME, PKCS # 7 hoặc PKCS # 12 có thể bị ảnh hưởng.”
NSS là một tập hợp các thư viện máy tính mật mã nguồn mở được thiết kế để cho phép phát triển đa nền tảng của các ứng dụng máy khách-máy chủ, với sự hỗ trợ cho SSL v3, TLS, PKCS # 5, PKCS # 7, PKCS # 11, PKCS # 12, S / Chứng chỉ MIME, X.509 v3 và các tiêu chuẩn bảo mật khác.
Lỗi, hậu quả của việc thiếu kiểm tra giới hạn có thể cho phép thực thi mã do kẻ tấn công kiểm soát tùy ý, được cho là đã có thể khai thác từ tháng 6 năm 2012, “Điều nổi bật về lỗ hổng này là nó rất đơn giản, “Ormandy nói trong một bài viết kỹ thuật.
Mặc dù thiếu sót của BigSig không ảnh hưởng đến bản thân trình duyệt web firefox của Mozilla, nhưng ứng dụng email, trình xem PDF và các ứng dụng khác dựa vào NSS để xác minh chữ ký, chẳng hạn như Red Hat, Thunderbird, LibreOffice, Evolution và Evince, được cho là dễ bị tấn công .
“Đây là một lỗ hổng bộ nhớ lớn trong NSS, hầu như mọi hoạt động sử dụng NSS đều bị ảnh hưởng”, Ormandy tweet. “Nếu bạn là nhà cung cấp phân phối NSS trong các sản phẩm của mình, rất có thể bạn sẽ cần cập nhật hoặc báo cáo lại bản vá.”
.