ProduktNSS (Network Security Services), wersje wcześniejsze niż 3.73 lub 3.68.1 ESR
Numer CVECVE-2021-43527
Krytyczność8.5 / 10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisNSS jest podatny na przepełnienie sterty podczas obsługi podpisów DSA zakodowanych w formacie DER lub RSA-PSS. Zdalny atakujący może wysłać specjalnie spreparowane podpisy zakodowane w CMS, S/MIME, PKCS #7 lub PKCS #12 do aplikacji, wywołać przepełnienie bufora na stercie i wykonać dowolny kod w systemie docelowym. Luka ta nie ma wpływu na Firefox. Uważa się jednak, że dotyczy to klientów poczty e-mail i przeglądarek plików PDF, które używają NSS do weryfikacji podpisów, takich jak Thunderbird, LibreOffice, Evolution i Evince.
AktualizacjaTAK
Linkhttps://www.mozilla.org/en-US/security/advisories/mfsa2021-51/