Mozilla NSS加密库中的关键漏洞可能会影响其他几个软件

Mozilla已经推出了修复程序，以解决其跨平台网络安全服务（NSS）加密库中的一个关键安全漏洞，该漏洞可能被对手利用，导致易受攻击的应用程序崩溃，甚至执行任意代码。

该漏洞被追踪为CVE-2021-43527，影响3.73或3.68.1 ESR之前的NSS版本，并与验证数字签名（如使用DER二进制格式编码的DSA和RSA-PSS算法）时的堆溢出漏洞有关。谷歌零号项目的塔维斯·奥曼迪（Tavis Ormandy）报道了这一问题，并将其命名为“BigSig”

Mozilla在周三发布的一份公告中表示：“3.73或3.68.1 ESR之前的NSS（网络安全服务）版本在处理DER编码的DSA或RSA-PSS签名时容易发生堆溢出。”。“使用NSS处理CMS、S/MIME、PKCS#7或PKCS#12中编码的签名的应用程序可能会受到影响。”

NSS是一个开源加密计算机库的集合，旨在支持跨平台开发客户机-服务器应用程序，支持SSL v3、TLS、PKCS#5、PKCS#7、PKCS#11、PKCS#12、S/MIME、X.509 v3证书和其他安全标准。

该漏洞是一个边界检查缺失的结果，可能允许执行任意攻击者控制的代码，据说可以追溯到2012年6月，“该漏洞的惊人之处在于它有多么简单，”奥曼迪在一篇技术文章中说。“这个问题表明，即使维护得非常好的C/C++也可能会出现致命的、微不足道的错误。”

虽然BigSig的缺点并不影响Mozilla的Firefox web浏览器本身，但电子邮件客户端、PDF查看器和其他依赖NSS进行签名验证的应用程序，如Red Hat、Thunderbird、LibreOffice、Evolution和Evence，都被认为是易受攻击的。

“这是NSS中的一个主要内存损坏缺陷，几乎所有NSS的使用都会受到影响，”奥曼迪在推特上写道。“如果您是在产品中分发NSS的供应商，您很可能需要更新或备份补丁。”