Google keamanan cyber (terbuka di tab baru) para peneliti telah membantu menambal kerentanan kerusakan memori kritis yang memengaruhi sekumpulan pustaka kriptografi Layanan Keamanan Jaringan (NSS) lintas platform Mozilla.
“Saya menemukan kerentanan kritis di Network Security Services (NSS). NSS adalah pustaka kriptografi lintas platform proyek Mozilla. Di tahun 2021, semua bug yang bagus membutuhkan nama yang menarik, jadi saya menyebutnya “BigSig”,” menulis (terbuka di tab baru) Tavis Ormandy dari Google Project Zero
Menurut Ormandy, kerentanan, dilacak sebagai CVE-2021-43527, dan dinilai kritis, dapat menyebabkan luapan buffer berbasis heap saat memverifikasi tanda tangan DSA atau RSA-PSS yang dikodekan DER di beberapa klien email (terbuka di tab baru) dan pemirsa PDF (terbuka di tab baru) yang menggunakan versi buggy NSS.
Dinilai kritis
Melaporkan perkembangan BleepingComputer (terbuka di tab baru) menjelaskan bahwa NSS digunakan dalam pengembangan beberapa aplikasi klien dan server yang mendukung keamanan dan mendukung sertifikat SSL v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME, X.509 v3, dan berbagai standar keamanan lainnya.
Dalam penjelasannya, Ormandy menambahkan bahwa bug tersebut mungkin mempengaruhi semua versi NSS sejak 3.14, yang dirilis hampir satu dekade lalu pada Oktober 2012. Jika dieksploitasi, bug tersebut dapat menyebabkan aplikasi crash, atau bahkan memungkinkan penyerang untuk mengeksekusi kode arbitrer.
Mozilla telah memperbaiki bug di NSS 3.68.1 dan NSS 3.73, dan di dalamnya penasehat (terbuka di tab baru) telah mengklarifikasi bahwa itu tidak mempengaruhi Firefox (terbuka di tab baru)Mozilla populer peramban web (terbuka di tab baru). Sebaliknya ia percaya bahwa sumber terbuka aplikasi yang menggunakan NSS untuk memverifikasi tanda tangan seperti Petir (terbuka di tab baru), LibreOffice (terbuka di tab baru)klien email Evolution, dan pembaca PDF Evince semuanya bisa rentan.
Jika Anda mengkhawatirkan keamanan online, gunakan ini pengelola kata sandi terbaik (terbuka di tab baru) untuk mengunci akun Anda dengan aman, dan bahkan mungkin menggunakan salah satunya kunci keamanan terbaik (terbuka di tab baru) untuk menambahkan lapisan perlindungan lain