Vulnerabilidad crítica en la biblioteca NSS de Mozilla afecta potencialmente a más software

0

Vulnerabilidad crítica en la biblioteca criptográfica NSS de Mozilla, BigSig, afecta potencialmente a otros software

Vulnerabilidad crítica en la biblioteca criptográfica NSS de Mozilla, BigSig, afecta potencialmente a otros software

Mozilla ha implementado soluciones para abordar una vulnerabilidad de seguridad crítica en su biblioteca criptográfica de servicios de seguridad de red (NSS) multiplataforma, que podría ser explotada por un hacker para bloquear una aplicación vulnerable e incluso ejecutar código arbitrario.

Rastreada como CVE-2021-43527, la vulnerabilidad afecta a las versiones NSS anteriores a 3.73 o 3.68.1 ESR y se refiere a una vulnerabilidad de desbordamiento de pila al verificar firmas digitales como los algoritmos DSA y RSA-PSS que están codificados usando el formato binario DER.

Tavis Ormandy de Google Project Zero, quien lo nombró BigSig, fue quien informó sobre el problema.

«Las versiones de NSS (Network Security Services) anteriores a 3.73 o 3.68.1 ESR son vulnerables a un desbordamiento de pila cuando se manejan firmas DSA o RSA-PSS codificadas en DER. Las aplicaciones que usan un NSS para manejar firmas codificadas dentro de CMS, S/MIME, PKCS #7 o PKCS #12 probablemente se vean afectadas», dijo Mozilla.

NSS es una colección de bibliotecas informáticas criptográficas de código abierto diseñadas para permitir el desarrollo multiplataforma de aplicaciones cliente-servidor, con soporte para SSL v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/Certificados MIME, X.509 v3 y otros estándares de seguridad.

Se cree que el error, consecuencia de una verificación de límites faltantes que podría permitir la ejecución de código arbitrario controlado por el atacante, se puede explotar desde junio de 2012.

«Lo sorprendente de esta vulnerabilidad es lo simple que es. Este problema demuestra que incluso C/C++ extremadamente bien mantenido puede tener errores fatales y triviales», dijo Ormandy.

Aunque la deficiencia de BigSig no afecta al navegador web Firefox de Mozilla, se cree que los clientes de correo electrónico, los visores PDF y otras aplicaciones que dependen de NSS para verificación de firmas, como RedHat, Thunderbird, LibreOffice, Evolution y Evince, son vulnerables.

«Esta es una falla importante de corrupción de memoria en NSS, casi cualquier uso de NSS se ve afectado. Si usted es un proveedor que distribuye NSS en sus productos, lo más probable es que necesite actualizar el parche», dijo Ormandy.


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 661610005838513425 Nombre: Masterhacks LATAM Banco: Alternativos

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *