Mozilla исправила критическую уязвимость в Network Security Services (NSS) - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Самоучитель CSS » Вёрстка » Mozilla исправила критическую уязвимость в Network Security Services (NSS) - «Новости»

Разработчики Mozilla устранили критическую уязвимость, связанную с нарушением целостности информации в памяти. Проблема затрагивает кроссплатформенный набор криптографических библиотек Network Security Services (NSS).


NSS — эта набор опенсорсных криптографических библиотек, который используется для разработки клиентских и серверных приложений с SSL v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME, X.509 v3 сертификатов и других стандартом безопасности.


Уязвимость была обнаружена специалистом Google Project Zero Тэвисом Орманди в NSS младше версии 3.73 или 3.68.1 ESR. Проблема получила идентификатор CVE-2021-43527 и связана с переполнением буфера хипа, возникающим при обработке DER-подписей DSA или RSA-PSS в почтовых клиентах и ​​программах просмотра PDF с использованием уязвимых версий NSS (ошибка исправлена ​​в NSS 3.68.1 и NSS 3.73).


Орманди рассказывает, что успешная эксплуатация бага может привести как к сбою программы, так и к выполнению произвольного кода с обходом защитных систем. Разработчики Mozilla, в свою очередь, отмечают, что уязвимость, вероятно,  влияет на приложения, использующие NSS для обработки подписей, закодированных с использованием CMS, S/MIME, PKCS #7 и PKCS #12. Также проблемы могут возникнуть у приложений, использующих NSS для валидации сертификатов и другие функции TLS, X.509, OCSP или CRL (в зависимости от того, как они настраивают NSS).


«Мы считаем, что все версии NSS, начиная с версии 3.14 (выпущенной в октябре 2012 года), уязвимы. Mozilla планирует составить подробный список уязвимых API-интерфейсов, но, по сути, затронуты все стандартные использования NSS», — предупреждает Орманди.


Согласно Mozilla, уязвимость не влияет на браузер Mozilla Firefox, однако все программы для просмотра PDF-файлов и почтовые клиенты, использующие NSS для проверки подписи, проблеме подвержены. По официальной статистике, NSS активно применяется разработчиками Mozilla, Red Hat, SUSE и не только, в составе следующих продуктов:



  • Firefox, Thunderbird, SeaMonkey и Firefox OS;

  • опенсорсные клиентские приложения, включая Evolution, Pidgin, Apache OpenOffice и LibreOffice;

  • серверные продукты Red Hat: Red Hat Directory Server, Red Hat Certificate System и модуль SSL mod_nss для веб-сервера Apache;

  • серверные продукты Oracle, включая Oracle Communications Messaging Server и Oracle Directory Server Enterprise Edition;

  • SUSE Linux Enterprise Server поддерживает NSS и модуль SSL mod_nss для веб-сервера Apache.


 


Разработчики Mozilla устранили критическую уязвимость, связанную с нарушением целостности информации в памяти. Проблема затрагивает кроссплатформенный набор криптографических библиотек Network Security Services (NSS). NSS — эта набор опенсорсных криптографических библиотек, который используется для разработки клиентских и серверных приложений с SSL v3, TLS, PKCS
CSS

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: