หน้าแรก Security Data Leak พบบั๊กร้ายแรงในไลบรารีเข้ารหัสของ Mozilla NSS ที่กระทบกับซอฟต์แวร์อื่นอีกหลายตัว

พบบั๊กร้ายแรงในไลบรารีเข้ารหัสของ Mozilla NSS ที่กระทบกับซอฟต์แวร์อื่นอีกหลายตัว

แบ่งปัน

Mozilla ได้ออกตัวแก้ไขจุดอ่อนสำคัญด้านความปลอดภัยในไลบรารีเข้ารหัสของบริการความปลอดภัยบนเครือข่ายแบบข้ามแพลตฟอร์มอย่าง Network Security Services (NSS) ที่ผู้ไม่หวังดีใช้เป็นช่องทางโจมตีแอพพลิเคชั่นให้หยุดการทำงาน หรือแม้แต่ใช้รันโค้ดอันตรายได้

ช่องโหว่ดังกล่าวอยู่ภายใต้รหัส CVE-2021-43527 ซึ่งมีอยู่ใน NSS เวอร์ชั่นก่อนหน้า 3.73 หรือ 3.68.1 ESR เป็นช่องโหว่แบบ Heap Overflow เวลาตรวจสอบซิกเนเจอร์ดิจิตอลอย่างเช่นอัลกอริทึม DSA และ RSA-PSS

โดยเฉพาะลายเซ็นดิจิตอลที่เข้ารหัสแบบไบนารี DER สำหรับช่องโหว่นี้ถูกค้นพบและรายงานขึ้นโดยสมาชิกจากกลุ่ม Google Project Zero คุณ Tavis Ormandy ซึ่งใช้โค้ดเนมว่า “BigSig” ส่วนแอพพลิเคชันที่ได้รับผลกระทบนั้น

ได้แก่แอพที่ใช้ NSS ในการจัดการซิกเนเจอร์ที่เข้ารหัสภายในตัว CMS, S/MIME, PKCS #7, หรือ PKCS #12 สำหรับตัว NSS เป็นคอลเลกชั่นของไลบรารีเข้ารหัสข้อมูลแบบโอเพ่นซอร์ส ที่ออกแบบมาให้ใช้แบบข้ามแพลตฟอร์มได้

อ่านทั้งหมดที่นี่ – THN

สมัครสมาชิก Enterprise ITPro เพื่อรับข่าวสารด้านไอที