首页 > 业界 > 关键词  > 漏洞最新资讯  > 正文

Mozilla已修复NSS跨平台网络安全服务中的内存破坏漏洞

2021-12-03 10:32 · 稿源: cnbeta

作为安全客户端 / 服务器应用程序开发的一款工具,NSS 可用于支持 SSL v3、TLS、PKCS #5、PKCS #7、PKCS #11、PKCS #12、S/MIME、X.509 v3 证书,以及其它各种安全标准。然而在 3.73 / 3.68.1 ESR 之前的版本中,Google 安全研究员 Tavis Ormandy 却发现了一个严重的内存破坏漏洞

截图(来自:Mozilla 官网)

Tavis Ormandy 将这种漏洞称作 BigSig,且现已分配 CVE-2021-43527 这个漏洞披露追踪编号。

若使用易受攻击的 NSS 版本,用户很可能在电子邮件客户端和 PDF 阅读器中处理 DER 编码(DSA)或 RSA-PSS 签名时,遭遇堆缓冲区溢出(heap-based buffer overflow)。

庆幸的是,Mozilla 已在 NSS 3.73 / 3.68.1 ESR 版本中修复了这个 bug 。但未及时打补丁的平台,仍存在程序崩溃、或被攻击者利用于任意代码执行(绕过安全软件)的风险。

Mozilla 在周三发布的一份安全公告中称,使用 NSS 处理 CMS、S/MIME、PKCS #7、PKCS #12 签名编码的各应用程序,都有可能受到 BigSig 漏洞的影响。

此外使用 NSS 开展证书验证(或其它 TLS、X.509、OCSP、CRL 功能)的应用程序,也可能受到一定的影响,具体取决于它们是如何配置的。

Tavis Ormandy 在 Project Zero 漏洞追踪页面上指出,问题可一直追溯到 2012 年 10 月发布的 3.14 版本。

Mozilla 计划生成一份受影响 API 的完整列表,但简单总结就是任何 NSS 的标准使用都会受到影响,该漏洞很容易重现并影响多种算法

让人松口气的是,Mozilla 声称 CVE-2021-43527 漏洞并未波及 Firefox 网络浏览器。不过所有使用 NSS 进行签名验证的 PDF 阅读器 / 电子邮件客户端,都应该慎重评估。

除了 Mozilla 旗下的 Firefox 网络浏览器 / Thunderbird 邮件客户端 / Firefox OS 移动操作系统 / SeaMonkey 跨平台开源网络套装软件,红帽、SUSE 等公司也有大量产品在使用 NSS 。

● 开源客户端应用程序:包括 Evolution、Pidgin、Apache OpenOffice、LibreOffice 。

● Red Hat 服务器产品:Red Hat Directory Server、Red Hat Certificate System、以及用于 Apache 网络服务器的 mod_nss SSL 模块。

● Oracle(Sun Java Enterprise System)服务器产品:包括 Oracle Communications Messaging Server 和 Oracle Directory Server Enterprise Edition 。

● SUSE Linux Enterprise Server:支持 Apache 网络服务器的 NSS 和 mod_nss SSL 模块。

最后,Tavis Ormandy 提醒那些在自家产品中分发 NSS 的供应商,也尽快提供更新或向后移植补丁。

举报

  • 相关推荐
  • 冠宇加码汽车网络安全技术,抢占乘用车智能化新战场

    2024年全球汽车网络安全形势严峻,已公开的重大事件超20起,涉及数据泄露、勒索软件攻击甚至车辆功能被黑客操控。现代汽车面临多维度的网络安全威胁:硬件层面,电池系统成为新攻击目标,伪造充电协议可致电池容量三周内衰减40%;软件层面,车载娱乐系统漏洞可能危及行车安全。供应链风险同样突出,包括制造环节勒索攻击和云端数据泄露。冠宇网络安全防护体系采用全栈防御策略,其电池管理系统通过ISO26262功能安全认证,结合主动监测技术将网络安全事件发生率降低90%以上。该公司与欧洲高端汽车品牌深度合作,将安全评估前移至设计阶段,重新定义新能源汽车供应链安全标准。在汽车智能化浪潮中,唯有将网络安全视为产品质量第一道门槛,才能真正实现"安全出行"承诺。

  • 最高网络安全标准,追觅扫地机获UL Solutions钻石级安全认证

    追觅X50系列扫地机器人获得UL Solutions颁发的"钻石级网络安全认证证书",成为全球首个获此认证的扫地机器人品牌。该认证表明产品在设备端防护、应用层数据加密、云端数据管理等全链路安全体系均达到国际最高标准。追觅还获得TÜV南德消费类物联网安全认证,构建起完善的安全防护体系。这些认证不仅验证了追觅产品的网络安全性能,更彰显了其在智能清洁赛道的核心竞争力。随着物联网安全要求提高,追觅构建的"全链路安全解决方案"或将成为行业重要参考,推动智能家居产业安全标准升级。

  • 小鱼易连亮相2025北京网络安全大会,筑牢新时代安全可信音视频底座

    2025北京网络安全大会(BCS2025)于6月5日在北京国家会议中心开幕。本届大会以"安全突围:重塑内生安全体系"为主题,汇聚全球顶尖专家和行业领袖,探讨AI安全创新与全球网络安全生态融合。小鱼易连作为中国电子自主计算产业体系代表参展,展示其"高安全·超融合·全连接"视频会议解决方案,通过自主可控技术构建覆盖"云-管-端-用"的全链路安全防护架构,已广泛应用于党政机关、金融、能源等关键领域。大会强调在"十四五"规划开局之年,网络安全已成为国家战略重点,需要各方共同推动数字中国安全发展。

  • 微云全息(NASDAQ: HOLO)推出创新区块链治理博弈模型,强化网络安全防护

    微云全息(NASDAQ:HOLO)开发了新型区块链治理博弈模型(BGGM),通过去中心化网络设计有效防御攻击。该模型结合随机博弈理论和波动理论,分析攻击者行为模式,优化网络防护策略。研究显示,BGGM能提升区块链安全性和稳定性,为首次代币发行(ICO)和新链服务提供安全保障。微云全息将持续优化该模型,推动区块链技术发展,为用户带来更安全可靠的体验。

  • 抖音宣布治理网络黑话烂梗

    近日,抖音平台针对网络环境中出现的不规范用语现象,尤其是“黑话烂梗”的传播,进一步加大了整治力度。抖音一直致力于倡导记录真实而美好的生活,并鼓励用户以规范、准确的文字进行表达。在《抖音社区自律公约》中,平台已明确提出建议用户重视文字的正确使用,减少错别字和拼音首字母缩写表达,自觉遵守语言文字规范。

  • 浙江文交所与鲸探携手“科技+文化” 实现文化数字资产跨平台“秒转”流通

    7月7日,浙江文交所与蚂蚁集团旗下鲸探科技达成合作,推出数字资产跨系统"秒转"功能,实现数字藏品在数文链和蚂蚁链间的便捷互转。首批支持《愤怒小鱼篓》等5款藏品跨平台流通,并同步发行文旅数字藏品《东坡行旅·石刻踪迹》1.2万份。此次合作创新"瞬时交割"交易模式,推动数字资产跨平台智能流通,促进文化数字资产市场繁荣发展。未来双方将深化合

  • Soul推出“假人设风险提醒”功能,净化网络环境

    社交平台Soul App针对"假人设"现象推出治理措施,通过"瞬间假人设风险提醒"功能识别虚假账号,准确率超95%。该功能可识别盗用他人照片、伪造身份信息等行为,已发送提醒超57万次。平台还升级图片识别模型,实现全网图片比对,并建立专项小组监控文字、语音等内容中的矛盾点。数据显示,虚假人设背后常隐藏诈骗风险,Soul将持续净化网络环境,打造安全可

  • AI网络,好用领航 | 信锐总部新展厅云参观直播精彩回顾!

    6月13日,信锐以"AI网络·好用领航"为主题举办总部新展馆"云参观"直播活动。市场部总经理张锐通过镜头带领观众沉浸式参观全新数字化展馆,围绕"好用"核心主题,展示无线、交换机、物联网、信锐锐灵四大产品线最新成果。重点呈现2021年首款搭载独立AI芯片的无线AP、2017年独创"瘦架构"模式的交换机系列、基于大模型技术的"小信GPT"智能运维方案,以及智慧空间解决方案。信锐通过"以用户为中心"的创新理念,致力于打造"零中断、零管理、高安全"的网络体验,提供全场景一致性的极致体验。

  • 谷歌云宕机引发大面积网络瘫痪,多款热门应用受影响

    据悉,这次大规模中断的“罪魁祸首”是 谷歌云(Google Cloud)的一次服务故障……