Mozilla ha lanzado parches para abordar una vulnerabilidad crítica en su biblioteca criptográfica Network Security Services (NSS) multiplataforma que podría ser explotada por un adversario para bloquear una aplicación vulnerable e incluso ejecutar código aleatorio.
El incidente, identificado como CVE-2021-43527, afecta a las versiones de NSS anteriores a la 3.73 o a la 3.68.1 ESR, y se refiere a una vulnerabilidad de desbordamiento de la pila cuando se verifican firmas digitales como los algoritmos DSA y RSA-PSS que se codifican utilizando el formato binario DER. El autor del informe sobre la vulnerabilidad es Tavis Ormandy, del Proyecto Zero de Google, que lo denominó “BigSig”.
“Las versiones de NSS (Network Security Services) anteriores a la 3.73 o a la 3.68.1 ESR son vulnerables a un desbordamiento de heap al manejar firmas DSA o RSA-PSS codificadas en DER”, informó Mozilla en un boletín publicado el miércoles. “Las aplicaciones que utilizan NSS para manejar firmas codificadas en CMS, S/MIME, PKCS #7 o PKCS #12 probablemente se vean afectadas”.
NSS es una colección de bibliotecas informáticas criptográficas de código abierto diseñadas para permitir el desarrollo multiplataforma de aplicaciones cliente-servidor, con soporte para SSL v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME, certificados X.509 v3 y otros estándares de seguridad.
El fallo, consecuencia de la falta de una comprobación de límites que podría permitir la ejecución de código arbitrario controlado por un atacante, habría sido explotable desde junio de 2012. “Lo sorprendente de esta vulnerabilidad es lo simple que es”, escribe Ormandy en su artículo. “Este problema demuestra que incluso un C/C++ extremadamente bien mantenido puede tener errores fatales y triviales”.
Aunque el fallo de BigSig no afecta al propio navegador web Firefox de Mozilla, se estima que los clientes de correo electrónico, los visores de PDF y otras aplicaciones que dependen de NSS para la verificación de firmas, como Red Hat, Thunderbird, LibreOffice, Evolution y Evince, son vulnerables. “Se trata de un importante fallo de corrupción de memoria en NSS, casi cualquier uso de NSS está afectado”, tuiteó Ormandy. “Si usted es un proveedor que distribuye NSS en sus productos, lo más probable es que tenga que actualizar o hacer un backport del parche”.
