Уязвимость в проверке подписей сертификатов в библиотеке NSS
Иногда так бывает, что уязвимости льются одна за другой. Пока все обсуждают ShellShock, Mozilla и Google обновляют свои браузеры Firefox и Chrome, чтобы закрыть достаточно серьезную уязвимость, которая может, при определенных обстоятельствах, привести к подделке подписи SSL-сертификата.
Библиотека Network Security Services (NSS), которая используется для криптографии в браузерах Firefox и Chrome, неправильно обрабатывала padding в подписях по стандарту PKCS#1 v1.5 из-за уязвимости в ASN.1-кодировании DigestInfo.
Уязвимость реализации заключается в том, что DigestInfo обрабатывался, будто он закодирован в BER, из-за чего было возможно закодировать один и тот же ASN.1-объект разными способами. Парсер не учитывал некоторые байты в процедуре проверки сертификатов, что позволяло подделывать сертификаты, если при его создании была использована маленькая публичная экспонента (например, 3). Читать дальше →
Библиотека Network Security Services (NSS), которая используется для криптографии в браузерах Firefox и Chrome, неправильно обрабатывала padding в подписях по стандарту PKCS#1 v1.5 из-за уязвимости в ASN.1-кодировании DigestInfo.
Уязвимость реализации заключается в том, что DigestInfo обрабатывался, будто он закодирован в BER, из-за чего было возможно закодировать один и тот же ASN.1-объект разными способами. Парсер не учитывал некоторые байты в процедуре проверки сертификатов, что позволяло подделывать сертификаты, если при его создании была использована маленькая публичная экспонента (например, 3). Читать дальше →
Источник: Хабрахабр
💬 Комментарии
В связи с новыми требованиями законодательства РФ (ФЗ-152, ФЗ «О рекламе») и ужесточением контроля со стороны РКН, мы отключили систему комментариев на сайте.
🔒 Важно Теперь мы не собираем и не храним ваши персональные данные — даже если очень захотим.
💡 Хотите обсудить материал?
Присоединяйтесь к нашему Telegram-каналу:
https://t.me/blogssmartzНажмите кнопку ниже — и вы сразу попадёте в чат с комментариями