Dans certaines conditions, des erreurs pourraient survenir lors de la vérification des signatures par la crypto-bibliothèque Network Security Services (NSS) de Mozilla. Si les attaques réussissent, du code malveillant pourrait être introduit sur les ordinateurs. Des versions protégées contre de telles attaques sont disponibles.

NSS doit assurer la communication sécurisée entre le client et le serveur. La bibliothèque de programmes est utilisée par exemple dans le client de messagerie Thunderbird, LibreOffice et différents lecteurs PDF. D’après un message d’avertissement de Mozilla, le navigateur web maison Firefox n’est pas concerné par la technologie appelée « critique« (CVE-2021-43527).

Selon Mozilla, le traitement des signatures DSA ou RSA-PSS chiffrées avec DER déclenche une erreur de mémoire (heap overflow). Des erreurs peuvent également se produire lors du traitement et de la validation de CMS, CRL, OCSP, PKCS #7, PKCS#12, S/MIME et X.509, selon la configuration.

Correctifs disponibles

Les développeurs assurent avoir corrigé la vulnérabilité dans les versions NSS 3.68.1 et 3.73 a été fermée. Toutes les versions précédentes sont censées être vulnérables. Tous les développeurs qui utilisent NSS doivent maintenant mettre à jour leurs applications afin que les utilisateurs puissent installer des versions sécurisées.

C’est le chercheur en sécurité phare de Google, Tavis Ormandy, qui a découvert cette faille. Dans un article, il expose la problématique. Il a baptisé cette faille BigSig. Selon lui, la seule réception d’un courrier signé avec S/MIME pourrait déclencher une attaque.