Уязвимость в проверке подписей сертификатов в библиотеке NSS
Иногда так бывает, что уязвимости льются одна за другой. Пока все обсуждают ShellShock, Mozilla и Google обновляют свои браузеры Firefox и Chrome, чтобы закрыть достаточно серьезную уязвимость, которая может, при определенных обстоятельствах, привести к подделке подписи SSL-сертификата.Библиотека Network Security Services (NSS), которая используется для криптографии в браузерах Firefox и Chrome, неправильно обрабатывала padding в подписях по стандарту PKCS#1 v1.5 из-за уязвимости в ASN.1-кодировании DigestInfo.Уязвимость реализации заключается в том, что DigestInfo обрабатывался, будто он закодирован в BER, из-за чего было возможно закодировать один и тот же ASN.1-объект разными способами. Парсер не учитывал некоторые байты в процедуре проверки сертификатов, что позволяло подделывать сертификаты, если при его создании была использована маленькая публичная экспонента (например, 3).
Пользователям продуктов Mozilla следует обновиться до следующих версий:
Firefox 32.0.3 Firefox ESR 24.8.1 Firefox ESR 31.1.1 Thunderbird 31.1.2 Thunderbird 24.8.1 SeaMonkey 2.29.1 NSS 3.16.2.1 NSS 3.16.5 NSS 3.17.1 Пользователям Google Chrome, вероятно, нужно обновиться до последней версии (выпущенной 24 сентября).Более подробно об уязвимости
