Iaroslav Gridin

**Nome do software vulnerável e versões afetadas** Versões do Firefox anteriores à 80 Versões do Firefox para Android anteriores à 80 **Descrição** O problema está relacionado à função de inversão modular na biblioteca Network Security Services (NSS), que contém falhas nos algoritmos criptográficos. Isso poderia permitir que um invasor obtivesse acesso não autorizado a informações protegidas por meio de um possível ataque de canal lateral baseado em tempo ao converter coordenadas de projetivas para afins. **Recomendações** Para versões do Firefox anteriores à 80, atualize para a versão 80 ou posterior. Para versões do Firefox para Android anteriores à 80, atualize para a versão 80 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Firefox anteriores à 80 Versões do Firefox para Android anteriores à 80 **Descrição** O problema está relacionado ao processo de geração de assinaturas ECDSA, no qual a remoção do preenchimento (padding) no nonce leva a uma execução de tempo variável que depende de dados secretos. Isso poderia permitir que um invasor obtivesse acesso não autorizado a informações protegidas. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. **Recomendações** Para versões do Firefox anteriores à 80, atualize para a versão 80 ou posterior para resolver o problema. Para versões do Firefox para Android anteriores à 80, atualize para a versão 80 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Firefox anteriores à 80 Versões do Firefox para Android anteriores à 80 SAP NetWeaver (versões afetadas não especificadas) **Descrição** O problema está relacionado ao uso do algoritmo de multiplicação de pontos wNAF durante a multiplicação escalar de pontos EC, o que resultou no vazamento de informações parciais sobre o nonce utilizado durante a geração da assinatura. Isso permitiu que um invasor calculasse a chave privada a partir de um traço eletromagnético de algumas gerações de assinatura. Além disso, há uma vulnerabilidade no componente de Gestão do Conhecimento da plataforma SAP NetWeaver relacionada à falha em neutralizar tags HTML relacionadas a scripts em uma página da web, o que poderia permitir que um invasor remoto realizasse ataques de cross-site scripting. **Recomendações** Para versões do Firefox anteriores à 80, atualize para a versão 80 ou posterior. Para versões do Firefox para Android anteriores à 80, atualize para a versão 80 ou posterior. Para o SAP NetWeaver, restrinja o acesso ao componente de Gerenciamento de Conhecimento vulnerável para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para a vulnerabilidade do SAP NetWeaver.

**Nome do software vulnerável e versões afetadas: Versões do Firefox anteriores à 78 Descrição: O problema está relacionado a falhas nos algoritmos criptográficos utilizados pela biblioteca Network Security Services (NSS). Isso permite que um invasor obtenha acesso a dados confidenciais ao explorar um ataque de canal lateral durante a geração de chaves RSA. Especificamente, as implementações bignum utilizavam uma variação do Algoritmo Euclidiano Estendido Binário, que apresentava um fluxo dependente da entrada, permitindo que invasores registrassem traços e recuperassem números primos secretos por meio de ataques de canal lateral baseados em campos eletromagnéticos. Observe que um navegador Firefox não modificado não é afetado em operação normal, mas produtos desenvolvidos com base nele podem ser. Recomendações: Para versões do Firefox anteriores à 78, atualize para a versão 78 ou posterior para resolver o problema. Como solução temporária, considere restringir a geração de chaves RSA nos produtos afetados até que um patch esteja disponível.