Mozilla: corretta falla critica nella libreria NSS

Mozilla: corretta falla critica nella libreria NSS

Mozilla ha provveduto a rilasciare un correttivo per la vulnerabilità CVE-2021-43527 relativa alla sua libreria Network Security Services.
Mozilla: corretta falla critica nella libreria NSS
Mozilla ha provveduto a rilasciare un correttivo per la vulnerabilità CVE-2021-43527 relativa alla sua libreria Network Security Services.

Mozilla ha da poco rilasciato una correttivo per una falla critica scovata nella sua libreria crittografica e open source Network Security Services (NSS), la quale viene utilizzata per svariate funzioni in un gran numero di applicazioni, tra cui software noti e ampiamente diffusi come Thunderbird e LibreOffice, e che supporta SSL v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME, X .509 certificati v3 e vari altri standard di sicurezza.

Mozilla corregge la falla CVE-2021-43527 della libreria NSS

La vulnerabilità, siglata come CVE-2021-43527, è stata scoperta dall’esperto di sicurezza Tavis Ormandy del Project Zero di Google, il quale ha prontamente fornito tutte le indicazioni del caso a Mozilla che, per l’appunto, ha subito provveduto a rilasciare un correttivo proprio nel corso delle ultime ore. La falla avrebbe potuto permettere ad un eventuale malintenzionato di eseguire codice arbitrario su applicazioni vulnerabili e causarne l’arresto anomalo.

Riguardo la criticità, Ormandy ha dichiarato quanto segue:

La firma di dimensione massima che questa struttura può gestire è qualunque sia il membro del sindacato più grande, in questo caso è RSA a 2048 byte. Sono 16384 bit, abbastanza grandi da contenere firme anche dai tasti più ridicolmente sovradimensionati.

Secondo il ricercatore di sicurezza, la vulnerabilità potrebbe aver portato a un overflow del buffer basato su heap durante la verifica delle firme DSA o RSA-PSS codificate DER in diversi client di posta elettronica e visualizzatori PDF che utilizzano le versioni fallate di NSS.

Ormandy aggiunge inoltre che il bug interessa probabilmente tutte le versioni di Network Security Services a partire dalla 3.14, che è stata rilasciata circa dieci anni ad ottobre del 2012. Da notare, poi, che la falla non va ad interessare il browser Firefox.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 3 dic 2021
Link copiato negli appunti