Hlavní navigace

Mozilla opravila kritickou chybu v knihovně Network Security Services (NSS)

2. 12. 2021

Sdílet

Červený zámek Autor: Depositphotos

Mozilla opravila závažnou bezpečnostní chybu, která se nachází v multiplatformní knihovně kryptografických funkcí Network Security Services (NSS). Jedná se o chybu přetečení zásobníku, která dostala označení CVE-2021–43527. Chyba souvisí se zpracováním podpisů DSA nebo RSA-PSS ve formátu DER v e-mailových klientech a prohlížečích PDF. Zranitelnost objevil výzkumní z Project Zero jménem Tavis Ormandy.

Kód v knihovně používá paměťovou strukturu schopnou pojmout klíče o velikosti 2048 bytů, tedy 16384 bitů. To v praxi stačí na všechny běžně používané klíče. Bohužel není ošetřena situace, kdy někdo použije delší klíč, který přeteče mimo vybranou oblast. Postiženy jsou všechny verze NSS od 3.14 z roku 2012, ale problém se netýká prohlížeče Firefox. Chyba je opravena v NSS verze 3.73.0.

NSS je sada knihoven navržených pro podporu klientských a serverových aplikací používajících šifrování na různých platformách. Aplikace využívající NSS mohou podporovat například certifikáty SSL v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME, X.509 v3 a další bezpečnostní standardy.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.