Avvxsegsrxnx2Drcnlx49Nruzih Mqfs4P974Fuuem5 Knxn6Zhjcbuvrv 9Lxltbqdt2Bmxitixlyivehw6Nwf5Plpdp5Knzbyb90Jdlbavnvvnnolruqtvuhdwojbduvnoswa7 Fvmnvpiywnuwzm8Pbdi4Xoq 07G1Uoevqt4E3Dsblvmece3Jj08Gp2

Mozilla a déployé des correctifs pour remédier à une faille de sécurité critique dans ses services de sécurité réseau multiplateformes (SNRS) bibliothèque cryptographique qui pourrait être potentiellement exploitée par un adversaire pour faire planter une application vulnérable et même exécuter du code arbitraire.

Traquée sous le nom CVE-2021-43527, la faille affecte les versions NSS antérieures à 3.73 ou 3.68.1 ESR, et concerne un débordement de tas vulnérabilité lors de la vérification des signatures numériques telles que DSA et RSA-PSS algorithmes codés à l’aide de DER format binaire. Tavis Ormandy de Google Project Zero est crédité d’avoir signalé le problème, qui lui a donné le nom de code « BigSig. »

Sauvegardes Automatiques Github

« Les versions NSS (Network Security Services) antérieures à 3.73 ou 3.68.1 ESR sont vulnérables à un débordement de tas lors du traitement des signatures DSA ou RSA-PSS encodées en DER. » Mozilla mentionné dans un avis publié mercredi. « Les applications utilisant NSS pour gérer les signatures encodées dans CMS, S/MIME, PKCS #7 ou PKCS #12 sont susceptibles d’être affectées. »

NSS est une collection de bibliothèques informatiques cryptographiques open source conçues pour permettre le développement multiplateforme d’applications client-serveur, avec prise en charge de SSL v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/ Certificats MIME, X.509 v3 et autres normes de sécurité.

Avvxseitz6 Rw0Ppsz2Swfzj8Cebqm8Rckghc1Jslmsccmwpws2 L5Pohbnwa Agjmzwlqj7Tnlcrnn8Giekq0Aawiprao9A7Rm3 Ifwtjedlvb3Tdlpja9Jbnorcctekq6N2Bgsz4Dhagim4Adz 7X5Hhywut

Le bogue, la conséquence d’une vérification des limites manquantes qui pourrait permettre l’exécution de code arbitraire contrôlé par un attaquant, aurait été exploitable depuis juin 2012, « Ce qui frappe dans cette vulnérabilité, c’est à quel point c’est simple, « Ormandy mentionné dans une rédaction technique.

Publicité
Prévenir Les Violations De Données

Bien que la lacune BigSig n’affecte pas le navigateur Web Firefox de Mozilla lui-même, les clients de messagerie, les visionneuses PDF et d’autres applications qui reposent sur NSS pour la vérification de signature, telles que chapeau rouge, Thunderbird, LibreOffice, Evolution et Evince sont considérés comme vulnérables.

« Il s’agit d’une faille majeure de corruption de mémoire dans NSS, presque toutes les utilisations de NSS sont affectées », Ormandy tweeté. « Si vous êtes un fournisseur qui distribue NSS dans vos produits, vous devrez probablement mettre à jour ou rétroporter le correctif. »


Rate this post
Publicité
Article précédentComment définir une bannière d’avertissement SSH personnalisée et un MOTD sous Linux
Article suivantLe mouvement du marché de la crypto-monnaie récompense Bitcoin, Ether rejoint la majorité des altcoins pour enregistrer les creux
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici