25. 09. 2014

Charakteristika zranitelnosti

Knihovna Mozilla Network Security Services (NSS) nedokáže správně ověřit podpisy RSA, které jsou používány k ověření autenticity zdroje zprávy. Chyba spočívá v nesprávném parsování hodnot ASN.1 v podpise certifikátu, což umožňuje vytvořit falešný certifikát s RSA klíčem.

Postižené systémy

Firefox < 32.0.3
Chrome < 37.0.2062.124
Thunderbird < 31.1.2
SeaMonkey < 2.29.1

Dopad zranitelnosti

Chyba umožnuje útočníkovi padělat podpis RSA, stejně jako SSL certifikát. Podvrhnuté zabezpečené stránky, které se tváří plně legitimně, mohou sloužit k vylákání citlivých údajů od uživatelů.

Řešení

Instalace aktualizace prohlížeče nebo patche, který ošetřuje tuto zranitelnost (MSFA 2014-73). Další produkty, které obsahují knihovnu NSS, by měly upgradovat jejich kopii NSS na jednu z následujících:
NSS 3.16.2.1
NSS 3.16.5
NSS 3.17.1

CVE

CVE-2014-1568 (rezervováno)
VU#772676

Odkazy

http://blog.mozilla.org/security/2014/09/24/rsa-signature-forgery-in-nss/
https://www.mozilla.org/security/announce/2014/mfsa2014-73.html
http://www.kb.cert.org/vuls/id/772676