Fallo crítico en la biblioteca criptográfica NSS de Mozilla

Hace dos semanas Mozilla lanzó una serie de correcciones solucionando un fallo de seguridad crítico en su biblioteca criptográfica «Network Security Services (NSS)» multiplataforma que podría ser explotado por un atacante para ejecutar comandos o inyectar código.

El fallo se ha identificado como CVE-2021-43527 y afecta a las versiones de NSS anteriores a la 3.73 o a la 3.68.1 ESR. Se trata de una vulnerabilidad conocida, ‘Buffer Overflow’, que es vulnerable cuando se verifican firmas digitales como los algoritmos DSA y RSA-PSS que se codifican utilizando el formato binario del DER.

«Las versiones de NSS (Network Security Services) anteriores a la 3.73 o la 3.68.1 ESR son vulnerables a un desbordamiento de heap al manejar firmas DSA o RSA-PSS codificadas en DER», dijo Mozilla en un aviso publicado el miércoles pasado.

NSS es una colección de bibliotecas informáticas criptográficas de código abierto diseñadas para permitir el desarrollo multiplataforma de aplicaciones cliente-servidor

Se trata de un importante fallo de corrupción de memoria en NSS, casi cualquier uso de NSS está afectado. Se recomienda actualizar a todo proveedor que distribuya NSS en sus productos.

Más información:

https://googleprojectzero.blogspot.com/2021/12/this-shouldnt-have-happened.html

La entrada Fallo crítico en la biblioteca criptográfica NSS de Mozilla se publicó primero en Una al Día.