Mozilla corrige une faille de sécurité importante qui affecte divers choix de logiciels informatiques préférés

Les scientifiques de Google en matière de cybersécurité ont corrigé une vulnérabilité cruciale de corruption de la mémoire affectant les fournisseurs de sécurité communautaire (NSS) inter-systèmes de Mozilla établis pour les bibliothèques de cryptographie.

« J’ai découvert une vulnérabilité critique dans les services de protection communautaire (NSS). NSS est la bibliothèque de cryptographie inter-systèmes du projet Mozilla. En 2021, tous les bugs supérieurs nécessitent une identification accrocheuse, j’appelle donc celui-ci “BigSig” », écrit Tavis Ormandy de Google Challenge Zero.

Selon Ormandy, la vulnérabilité, identifiée comme CVE-2021-43527 et considérée comme essentielle, aurait pu entraîner un débordement de la mémoire tampon dépendant du tas même en vérifiant les signatures DSA ou RSA-PSS encodées en DER dans de nombreux acheteurs d’e-mails et visionneuses de PDF qui utilisez les variantes buggy NSS.

Noté important

Rapport sur les progrès BipOrdinateur explique que NSS est utilisé dans l’amélioration d’un certain nombre d’applications grand public et serveur sécurisées et prend en charge SSL v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME, X.509 v3 certificats et plusieurs autres normes de stabilité.

Dans son explication, Ormandy fournit que le bogue a très probablement un effet sur toutes les variantes de NSS parce que 3.14, qui a été produit il y a une dizaine d’années en octobre 2012. S’il est exploité, le bogue pourrait entraîner le plantage du logiciel, ou même autoriser les attaquants à exécuter du code arbitraire.

Mozilla a prédéfini le bogue dans NSS 3.68.1 et NSS 3.73, et dans son avis a clarifié qu’il n’affecte pas Firefox, le navigateur Web très apprécié de Mozilla. Sinon, il pense que les applications de ressources ouvertes qui utilisent NSS pour vérifier les signatures telles que Thunderbird, LibreOffice, le client de messagerie Evolution et le lecteur PDF Evince pourraient toutes être vulnérables.

Si vous êtes soucieux de la stabilité du net, utilisez ces meilleurs administrateurs de mots de passe pour verrouiller vos comptes en toute sécurité, et peut-être même utiliser l’un de ces meilleures clés de sécurité pour augmenter une couche de protection différente