Mozilla исправила критическую уязвимость в Network Security Services (NSS) - «Новости» » Интернет технологии
sitename
Падающую на Землю обсерваторию NASA Swift будут спасать прицельным запуском крылатой ракеты - «Новости сети»
Падающую на Землю обсерваторию NASA Swift будут спасать прицельным запуском крылатой ракеты - «Новости сети»
 «Гаражная» компания запустила предзаказ на одноместный летающий мотоцикл с предоплатой в $999 - «Новости сети»
«Гаражная» компания запустила предзаказ на одноместный летающий мотоцикл с предоплатой в $999 - «Новости сети»
 В России начались продажи 12-дюймового планшета Poco Pad M1 с батарей на 12 000 мА·ч и ценой 29 990 рублей - «Новости сети»
В России начались продажи 12-дюймового планшета Poco Pad M1 с батарей на 12 000 мА·ч и ценой 29 990 рублей - «Новости сети»
 Paradox взяла на себя вину за провал Vampire: The Masquerade — Bloodlines 2 и списала больше половины бюджета игры - «Новости сети»
Paradox взяла на себя вину за провал Vampire: The Masquerade — Bloodlines 2 и списала больше половины бюджета игры - «Новости сети»
 Assassin's Creed Shadows пошла по пути Cyberpunk 2077 — Ubisoft отменила второе дополнение к игре - «Новости сети»
Assassin's Creed Shadows пошла по пути Cyberpunk 2077 — Ubisoft отменила второе дополнение к игре - «Новости сети»
 TeamGroup выпустила SSD с физической красной кнопкой самоуничтожения - «Новости сети»
TeamGroup выпустила SSD с физической красной кнопкой самоуничтожения - «Новости сети»
 Linux-ноутбук на Snapdragon X1 Elite отменён — заточенный под Windows процессор сильно тормозит с другой ОС - «Новости сети»
Linux-ноутбук на Snapdragon X1 Elite отменён — заточенный под Windows процессор сильно тормозит с другой ОС - «Новости сети»
 ИИ-пузырь «витает в воздухе», но Google всё равно замахнулась на расширение ИИ-мощностей в 1000 раз - «Новости сети»
ИИ-пузырь «витает в воздухе», но Google всё равно замахнулась на расширение ИИ-мощностей в 1000 раз - «Новости сети»
 «Роботы могут проломить череп»: Figure AI уволила инженера за такие слова и теперь ответит за это в суде - «Новости сети»
«Роботы могут проломить череп»: Figure AI уволила инженера за такие слова и теперь ответит за это в суде - «Новости сети»
 Apple устала от раздутого кода — в iOS 27 качество будет превыше новых функций - «Новости сети»
Apple устала от раздутого кода — в iOS 27 качество будет превыше новых функций - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Самоучитель CSS » Вёрстка » Mozilla исправила критическую уязвимость в Network Security Services (NSS) - «Новости»

✔Mozilla исправила критическую уязвимость в Network Security Services (NSS) - «Новости»

03 декабря 2021 770 Вёрстка / Новости / Преимущества стилей / Отступы и поля 0

Разработчики Mozilla устранили критическую уязвимость, связанную с нарушением целостности информации в памяти. Проблема затрагивает кроссплатформенный набор криптографических библиотек Network Security Services (NSS).


NSS — эта набор опенсорсных криптографических библиотек, который используется для разработки клиентских и серверных приложений с SSL v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME, X.509 v3 сертификатов и других стандартом безопасности.


Уязвимость была обнаружена специалистом Google Project Zero Тэвисом Орманди в NSS младше версии 3.73 или 3.68.1 ESR. Проблема получила идентификатор CVE-2021-43527 и связана с переполнением буфера хипа, возникающим при обработке DER-подписей DSA или RSA-PSS в почтовых клиентах и ​​программах просмотра PDF с использованием уязвимых версий NSS (ошибка исправлена ​​в NSS 3.68.1 и NSS 3.73).


Орманди рассказывает, что успешная эксплуатация бага может привести как к сбою программы, так и к выполнению произвольного кода с обходом защитных систем. Разработчики Mozilla, в свою очередь, отмечают, что уязвимость, вероятно,  влияет на приложения, использующие NSS для обработки подписей, закодированных с использованием CMS, S/MIME, PKCS #7 и PKCS #12. Также проблемы могут возникнуть у приложений, использующих NSS для валидации сертификатов и другие функции TLS, X.509, OCSP или CRL (в зависимости от того, как они настраивают NSS).


«Мы считаем, что все версии NSS, начиная с версии 3.14 (выпущенной в октябре 2012 года), уязвимы. Mozilla планирует составить подробный список уязвимых API-интерфейсов, но, по сути, затронуты все стандартные использования NSS», — предупреждает Орманди.


Согласно Mozilla, уязвимость не влияет на браузер Mozilla Firefox, однако все программы для просмотра PDF-файлов и почтовые клиенты, использующие NSS для проверки подписи, проблеме подвержены. По официальной статистике, NSS активно применяется разработчиками Mozilla, Red Hat, SUSE и не только, в составе следующих продуктов:



  • Firefox, Thunderbird, SeaMonkey и Firefox OS;

  • опенсорсные клиентские приложения, включая Evolution, Pidgin, Apache OpenOffice и LibreOffice;

  • серверные продукты Red Hat: Red Hat Directory Server, Red Hat Certificate System и модуль SSL mod_nss для веб-сервера Apache;

  • серверные продукты Oracle, включая Oracle Communications Messaging Server и Oracle Directory Server Enterprise Edition;

  • SUSE Linux Enterprise Server поддерживает NSS и модуль SSL mod_nss для веб-сервера Apache.


 

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Разработчики Mozilla устранили критическую уязвимость, связанную с нарушением целостности информации в памяти. Проблема затрагивает кроссплатформенный набор криптографических библиотек Network Security Services (NSS). NSS — эта набор опенсорсных криптографических библиотек, который используется для разработки клиентских и серверных приложений с SSL v3, TLS, PKCS
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: