Fallo crítico en la biblioteca criptográfica NSS de Mozilla

Hace dos semanas Mozilla lanzó una serie de correcciones solucionando un fallo de seguridad crítico en su biblioteca criptográfica «Network Security Services (NSS)» multiplataforma que podría ser explotado por un atacante para ejecutar comandos o inyectar código.

El fallo se ha identificado como CVE-2021-43527 y afecta a las versiones de NSS anteriores a la 3.73 o a la 3.68.1 ESR. Se trata de una vulnerabilidad conocida, ‘Buffer Overflow’, que es vulnerable cuando se verifican firmas digitales como los algoritmos DSA y RSA-PSS que se codifican utilizando el formato binario del DER.

«Las versiones de NSS (Network Security Services) anteriores a la 3.73 o la 3.68.1 ESR son vulnerables a un desbordamiento de heap al manejar firmas DSA o RSA-PSS codificadas en DER», dijo Mozilla en un aviso publicado el miércoles pasado.

NSS es una colección de bibliotecas informáticas criptográficas de código abierto diseñadas para permitir el desarrollo multiplataforma de aplicaciones cliente-servidor

Se trata de un importante fallo de corrupción de memoria en NSS, casi cualquier uso de NSS está afectado. Se recomienda actualizar a todo proveedor que distribuya NSS en sus productos.

Más información:

https://googleprojectzero.blogspot.com/2021/12/this-shouldnt-have-happened.html

fuente: unaaldia.hispasec

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies