В Mozilla исправили критическую брешь в системе безопасности

Исследователи кибербезопасности Google помогли исправить критическую уязвимость, приводящую к повреждению памяти, которая затрагивает кроссплатформенный набор криптографических библиотек Mozilla Network Security Services (NSS).

Mozilla исправляет критическую брешь в системе безопасности. Фото: Ketut Subiyanto, Pexels

Из сообщения Тэвиса Орманди специалиста по кибербезопасности из Google Project Zero:

«Я обнаружил критическую уязвимость в службах сетевой безопасности (NSS). NSS - это кроссплатформенная криптографическая библиотека проекта Mozilla. В 2021 году у всех хороших ошибок должно быть запоминающееся название, поэтому я назову его «BigSig»

По словам Орманди, уязвимость, получившая код CVE-2021-43527 и оцененная как критическая, могла привести к переполнению буфера при проверке подписей DSA или RSA-PSS в кодировке DER в нескольких почтовых клиентах и средствах просмотра PDF, которые используют версии NSS.

NSS используется при разработке нескольких клиентских и серверных приложений с поддержкой безопасности и поддерживает SSL v3, TLS, PKCS # 5, PKCS # 7, PKCS # 11, PKCS # 12, S / MIME, X Сертификаты .509 v3 и различные другие стандарты безопасности.

Орманди добавляет, что ошибка, вероятно, затрагивает все версии NSS, начиная с 3.14, которая была выпущена почти десять лет назад в октябре 2012 года. В случае эксплуатации ошибка может вызвать сбой приложения или даже позволить злоумышленникам выполнить произвольный код.

Разработчики Mozilla исправили ошибку в NSS 3.68.1 и NSS 3.73 и в своих рекомендациях пояснили, что она не влияет на Firefox , популярный веб-браузер Mozilla . Уязвимыми могут быть приложения с открытым исходным кодом, которые используют NSS для проверки подписей, такие как Thunderbird , LibreOffice , почтовый клиент Evolution и программа чтения PDF-файлов Evince.

Startpack подготовил список популярных и эффективных антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Он содержит ПО российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме