В Mozilla исправили критическую брешь в системе безопасности
Mozilla исправляет критическую брешь в системе безопасности. Фото: Ketut Subiyanto, Pexels
Из сообщения Тэвиса Орманди специалиста по кибербезопасности из Google Project Zero:
«Я обнаружил критическую уязвимость в службах сетевой безопасности (NSS). NSS - это кроссплатформенная криптографическая библиотека проекта Mozilla. В 2021 году у всех хороших ошибок должно быть запоминающееся название, поэтому я назову его «BigSig»
По словам Орманди, уязвимость, получившая код CVE-2021-43527 и оцененная как критическая, могла привести к переполнению буфера при проверке подписей DSA или RSA-PSS в кодировке DER в нескольких почтовых клиентах и средствах просмотра PDF, которые используют версии NSS.
NSS используется при разработке нескольких клиентских и серверных приложений с поддержкой безопасности и поддерживает SSL v3, TLS, PKCS # 5, PKCS # 7, PKCS # 11, PKCS # 12, S / MIME, X Сертификаты .509 v3 и различные другие стандарты безопасности.
Орманди добавляет, что ошибка, вероятно, затрагивает все версии NSS, начиная с 3.14, которая была выпущена почти десять лет назад в октябре 2012 года. В случае эксплуатации ошибка может вызвать сбой приложения или даже позволить злоумышленникам выполнить произвольный код.
Разработчики Mozilla исправили ошибку в NSS 3.68.1 и NSS 3.73 и в своих рекомендациях пояснили, что она не влияет на Firefox , популярный веб-браузер Mozilla . Уязвимыми могут быть приложения с открытым исходным кодом, которые используют NSS для проверки подписей, такие как Thunderbird , LibreOffice , почтовый клиент Evolution и программа чтения PDF-файлов Evince.
Startpack подготовил список популярных и эффективных антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Он содержит ПО российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
- Mozilla прекращает поддержку диспетчера паролей Firefox Lockwise.
- Firefox Relay предоставит псевдонимы электронной почты для безопасности пользователей.
- Mozilla блокирует вредоносные надстройки, установленные 455 тысячами пользователей Firefox.
- Mozilla начала показывать рекламу при вводе URL в адресную строку.
Комментариев пока не было