米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は12月2日(米国時間)、「Mozilla Releases Security Updates for Network Security Services|CISA」において、Mozillaが提供している「NSS(Network Security Services)」と呼ばれるライブラリに致命的な脆弱性が発見され、セキュリティアップデートがリリースされたことを伝えた。
NSSは、セキュア通信を用いるソフトウェアのためのクロスプラットフォーム・ライブラリであり、SSやS/MIMEなどの通信をサポートする各種実装を提供する。該当する脆弱性に関する情報はMozillaによるセキュリティ情報ページにまとめられている。
-
Memory corruption in NSS via DER-encoded DSA and RSA-PSS signatures
CVE-2021-43527として追跡されているこの脆弱性は、DERエンコードされたDSAまたはRSA-PSS署名を処理する際にヒープオーバーフローが発生する可能性があるというもの。そのの深刻度は最も高い「緊急(Critical)」に分類されている。悪意のある第三者による任意のコード実行やサービス運用妨害(DoS)攻撃、システムの乗っ取りなどの攻撃に利用される危険性がある。CMSやS/MIME、PKC#7、またはPKCS#12でエンコードされた署名の処理にNSSを利用している場合は、CVE-2021-43527の影響を受ける可能性があるという。また、NSSの設定方法によっては、その他の機能にも影響が出る可能性があるとのことだ。
v3.73およびv3.68.1 ESRより前のバージョンのNSSがこの脆弱性の影響を受けるとされている。Mozillaによれば、署名検証にNSSを使用しているThunderbirdやLibreOffice、Evolution、Evinceなどのソフトウェアがこの脆弱性の影響を受ける可能性があるという。一方でFirefoxには影響しないとのこと。対象の製品が多いので、利用しているユーザーは注意が必要だ。
