Mozilla исправила критическую уязвимость в Network Security Services (NSS) - «Новости» » Интернет технологии
sitename
Япония разморозила строительство маглева Токио — Нагоя после десятилетней паузы - «Новости сети»
Япония разморозила строительство маглева Токио — Нагоя после десятилетней паузы - «Новости сети»
В Китае прошёл первый международный турнир по боям человекоподобных роботов — одному оторвали голову - «Новости сети»
В Китае прошёл первый международный турнир по боям человекоподобных роботов — одному оторвали голову - «Новости сети»
Телевизоры LG уличили в слежке за пользователями, а мониторы — в самовольной установке ненужного ПО - «Новости сети»
Телевизоры LG уличили в слежке за пользователями, а мониторы — в самовольной установке ненужного ПО - «Новости сети»
Бывший ракетный инженер создал крошечный дрон-охотник на комаров - «Новости сети»
Бывший ракетный инженер создал крошечный дрон-охотник на комаров - «Новости сети»
Bethesda официально анонсировала Fallout 5, новую Fallout от Obsidian, ремастеры Fallout 3 и New Vegas - «Новости сети»
Bethesda официально анонсировала Fallout 5, новую Fallout от Obsidian, ремастеры Fallout 3 и New Vegas - «Новости сети»
Энтузиаст превратил игры из Steam в настоящие картриджи — с помощью старых SSD и скрипта - «Новости сети»
Энтузиаст превратил игры из Steam в настоящие картриджи — с помощью старых SSD и скрипта - «Новости сети»
OpenAI представила первый гаджет — клавиатуру для управления ИИ-агентами Codex - «Новости сети»
OpenAI представила первый гаджет — клавиатуру для управления ИИ-агентами Codex - «Новости сети»
ASML готовится поднять цены на оборудование для выпуска чипов, чем сильно разозлила TSMC - «Новости сети»
ASML готовится поднять цены на оборудование для выпуска чипов, чем сильно разозлила TSMC - «Новости сети»
Вампирская ролевая игра The Blood of Dawnwalker от ведущих разработчиков The Witcher 3 и Cyberpunk 2077 ушла на золото за полтора месяца до релиза - «Новости сети»
Вампирская ролевая игра The Blood of Dawnwalker от ведущих разработчиков The Witcher 3 и Cyberpunk 2077 ушла на золото за полтора месяца до релиза - «Новости сети»
Домашний интернет в России дорожает всё быстрее — и это ещё не предел - «Новости сети»
Домашний интернет в России дорожает всё быстрее — и это ещё не предел - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Самоучитель CSS » Вёрстка » Mozilla исправила критическую уязвимость в Network Security Services (NSS) - «Новости»

Разработчики Mozilla устранили критическую уязвимость, связанную с нарушением целостности информации в памяти. Проблема затрагивает кроссплатформенный набор криптографических библиотек Network Security Services (NSS).


NSS — эта набор опенсорсных криптографических библиотек, который используется для разработки клиентских и серверных приложений с SSL v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME, X.509 v3 сертификатов и других стандартом безопасности.


Уязвимость была обнаружена специалистом Google Project Zero Тэвисом Орманди в NSS младше версии 3.73 или 3.68.1 ESR. Проблема получила идентификатор CVE-2021-43527 и связана с переполнением буфера хипа, возникающим при обработке DER-подписей DSA или RSA-PSS в почтовых клиентах и ​​программах просмотра PDF с использованием уязвимых версий NSS (ошибка исправлена ​​в NSS 3.68.1 и NSS 3.73).


Орманди рассказывает, что успешная эксплуатация бага может привести как к сбою программы, так и к выполнению произвольного кода с обходом защитных систем. Разработчики Mozilla, в свою очередь, отмечают, что уязвимость, вероятно,  влияет на приложения, использующие NSS для обработки подписей, закодированных с использованием CMS, S/MIME, PKCS #7 и PKCS #12. Также проблемы могут возникнуть у приложений, использующих NSS для валидации сертификатов и другие функции TLS, X.509, OCSP или CRL (в зависимости от того, как они настраивают NSS).


«Мы считаем, что все версии NSS, начиная с версии 3.14 (выпущенной в октябре 2012 года), уязвимы. Mozilla планирует составить подробный список уязвимых API-интерфейсов, но, по сути, затронуты все стандартные использования NSS», — предупреждает Орманди.


Согласно Mozilla, уязвимость не влияет на браузер Mozilla Firefox, однако все программы для просмотра PDF-файлов и почтовые клиенты, использующие NSS для проверки подписи, проблеме подвержены. По официальной статистике, NSS активно применяется разработчиками Mozilla, Red Hat, SUSE и не только, в составе следующих продуктов:



  • Firefox, Thunderbird, SeaMonkey и Firefox OS;

  • опенсорсные клиентские приложения, включая Evolution, Pidgin, Apache OpenOffice и LibreOffice;

  • серверные продукты Red Hat: Red Hat Directory Server, Red Hat Certificate System и модуль SSL mod_nss для веб-сервера Apache;

  • серверные продукты Oracle, включая Oracle Communications Messaging Server и Oracle Directory Server Enterprise Edition;

  • SUSE Linux Enterprise Server поддерживает NSS и модуль SSL mod_nss для веб-сервера Apache.


 


Разработчики Mozilla устранили критическую уязвимость, связанную с нарушением целостности информации в памяти. Проблема затрагивает кроссплатформенный набор криптографических библиотек Network Security Services (NSS). NSS — эта набор опенсорсных криптографических библиотек, который используется для разработки клиентских и серверных приложений с SSL v3, TLS, PKCS
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS

Смотрите также

А что там на главной? )))



Комментарии )))



Войти через: