Mozilla NSS 库发现高危漏洞

Google Project Zero 安全研究人员 Tavis Ormandy 在广泛使用的 Mozilla Network Security Services (NSS)签名验证库发现了一个本应该早就发现的高危漏洞：一个简单的边界检查问题会导致内存破坏（memory corruption）。NSS 至少从 2014 年开始就支持模糊测试，但 NSS 库是一个模块化库，每个不同组件是独立测试的，在测试时对输入的字符长度设置了一个任意的 10000 字节限制，而 NSS 库却对此没有限制，但它验证的签名长度超过 16384 比特时会导致内存覆写。这个问题本应该很容易发现，Google 研究人员将其命名为“BigSig”，Mozilla 称编号为 CVE-2021-43527 的漏洞不影响 Firefox，但其它使用 NSS 库的软件如 Thunderbird、LibreOffice、Evolution 和 Evince 会受到影响。Google Chrome 在 2015 年前使用过 NSS 库，之后用自己的 BoringSSL 替换了 NSS。