Mozilla ha da poco rilasciato una correttivo per una falla critica scovata nella sua libreria crittografica e open source Network Security Services (NSS), la quale viene utilizzata per svariate funzioni in un gran numero di applicazioni, tra cui software noti e ampiamente diffusi come Thunderbird e LibreOffice, e che supporta SSL v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME, X .509 certificati v3 e vari altri standard di sicurezza.
Mozilla corregge la falla CVE-2021-43527 della libreria NSS
La vulnerabilità, siglata come CVE-2021-43527, è stata scoperta dall’esperto di sicurezza Tavis Ormandy del Project Zero di Google, il quale ha prontamente fornito tutte le indicazioni del caso a Mozilla che, per l’appunto, ha subito provveduto a rilasciare un correttivo proprio nel corso delle ultime ore. La falla avrebbe potuto permettere ad un eventuale malintenzionato di eseguire codice arbitrario su applicazioni vulnerabili e causarne l’arresto anomalo.
Riguardo la criticità, Ormandy ha dichiarato quanto segue:
La firma di dimensione massima che questa struttura può gestire è qualunque sia il membro del sindacato più grande, in questo caso è RSA a 2048 byte. Sono 16384 bit, abbastanza grandi da contenere firme anche dai tasti più ridicolmente sovradimensionati.
Secondo il ricercatore di sicurezza, la vulnerabilità potrebbe aver portato a un overflow del buffer basato su heap durante la verifica delle firme DSA o RSA-PSS codificate DER in diversi client di posta elettronica e visualizzatori PDF che utilizzano le versioni fallate di NSS.
Ormandy aggiunge inoltre che il bug interessa probabilmente tutte le versioni di Network Security Services a partire dalla 3.14, che è stata rilasciata circa dieci anni ad ottobre del 2012. Da notare, poi, che la falla non va ad interessare il browser Firefox.