Mozilla устранила критическую уязвимость в кросс-платформенном наборе криптографических библиотек Network Security Services (NSS). NSS используется для разработки клиентских и серверных приложений с поддержкой SSL v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME, X.509 v3.
Проблему в безопасности обнаружил эксперт Google Тэвис Орманди, она затрагивает версии NSS до 3.73 или 3.68.1 ESR. Специалисты также называют эту брешь «BigSig», идентификатор — CVE-2021-43527.
BigSig угрожает в первую очередь почтовым клиентам и программам для просмотра PDF-документов, которые используют уязвимую версию NSS. В руках злоумышленника эксплойт для этой дыры может привести к сбою в работе софта, выполнению произвольного кода и обходу защитных программ.
«Приложения, использующие NSS для обработки подписей CMS, S/MIME, PKCS #7 или PKCS #12, затронуты этой уязвимостью. К счастью, проблема не касается браузера Firefox», — пишет Mozilla.
Орманди полагает, что BigSig присутствует во всех версиях NSS с момента выхода 3.14 (октябрь 2021 года). Всем разработчикам, использующим NSS, рекомендуют как можно скорее установить соответствующий патч.
