PT-2021-5576 · Mozilla+11 · Thunderbird+13
Yaoguang Chen
·
Publicado
2021-12-01
·
Atualizado
2025-07-16
·
CVE-2021-43527
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do NSS anteriores à 3.73 ou 3.68.1 ESR
Descrição
O problema está relacionado a um estouro de pilha (heap overflow) ao processar assinaturas DSA ou RSA-PSS codificadas em DER. Aplicativos que utilizam o NSS para lidar com assinaturas codificadas em CMS, S/MIME, PKCS #7 ou PKCS #12 provavelmente serão afetados. Acredita-se que clientes de e-mail e visualizadores de PDF que utilizam o NSS para verificação de assinaturas, como Thunderbird, LibreOffice, Evolution e Evince, sejam afetados. A vulnerabilidade pode permitir que um invasor remoto execute código arbitrário.
Recomendações
Para versões do NSS anteriores à 3.73 ou 3.68.1 ESR, atualize para a versão 3.73 ou 3.68.1 ESR ou posterior para resolver o problema. Como solução alternativa temporária, considere desativar o uso de assinaturas DSA ou RSA-PSS codificadas em DER até que um patch esteja disponível. Restrinja o acesso a aplicativos vulneráveis, como clientes de e-mail e visualizadores de PDF, para minimizar o risco de exploração.
Correção
Heap Based Buffer Overflow
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Evince
Evolution
Libreoffice
Linuxmint
Nss
Red Hat
Rocky Linux
Suse
Thunderbird
Ubuntu