BigSig-kloof: Mozilla sluit kritieke kwetsbaarheid in de NSS-cryptobibliotheek


Onder bepaalde omstandigheden kunnen verificaties van handtekeningen door Mozilla’s Network Security Services (NSS) cryptobibliotheek tot fouten leiden. Als aanvallen succesvol zijn, kan kwaadaardige code computers bereiken. Er zijn versies beschikbaar die tegen dergelijke aanvallen zijn beveiligd.

NSS moet zorgen voor een veilige communicatie tussen client en server. De programmabibliotheek wordt bijvoorbeeld gebruikt in de Thunderbird e-mailclient, LibreOffice en verschillende PDF-viewers. Volgens een waarschuwing van Mozilla als de interne webbrowser Firefox niet verschilt van de “kritisch“Geclassificeerde kwetsbaarheid (CVE-2021-43527).

Volgens Mozilla veroorzaakt de verwerking van DSA- of RSA-PSS-handtekeningen versleuteld met DER een geheugenfout (heap-overflow). Afhankelijk van de configuratie kunnen er ook fouten optreden bij het verwerken en valideren van CMS, CRL, OCSP, PKCS # 7, PKCS # 12, S/MIME en X.509.

De ontwikkelaars verzekeren de kwetsbaarheid in de versies NSS 3.68.1 en 3.73 gesloten te hebben. Alle voorgaande edities zouden kwetsbaar zijn. Nu moeten alle ontwikkelaars die NSS gebruiken hun applicaties bijwerken zodat gebruikers beveiligde versies kunnen installeren.

Google’s vlaggenschip-beveiligingsonderzoeker Tavis Ormandy ontdekte de maas in de wet. In een bijdrage legt hij het probleem uitS. Hij doopte de kloof BigSig. Volgens hem zou alleen het ontvangen van een met S/MIME ondertekende mail een aanval kunnen initiëren.


(van)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: