「Thunderbird」や「LibreOffice」などに影響か ～Mozillaが「NSS」の致命的な脆弱性を公表

Mozillaが公開した脆弱性レポート

　Mozillaは12月1日（現地時間）、「NSS」（Network Security Services）ライブラリに致命的な脆弱性（CVE-2021-43527）が存在することを明らかにした。この問題は、Googleのセキュリティ部門「Project Zero」の研究者によって報告された。

　Mozillaが公開した脆弱性レポートによると、「NSS」v3.73および3.68.1 ESRより前のバージョンにはDERエンコードされたDSAまたはRSA-PSS署名の処理に問題があり、ヒープオーバーフローが発生する可能性があるという。ヒープオーバーフローは任意コードの実行やサービス拒否（DoS）攻撃などに悪用されることがある。

　深刻度の評価は、4段階中最高の「Critical」。「NSS」を用いてCMS、S/MIME、PKCS #7、PKCS #12でエンコードされた署名を処理するアプリケーションが影響を受けるほか、その他の機能を利用していても「NSS」の設定方法によっては影響を受ける可能性がある。

　Mozillaによると、「Firefox」はこの問題の影響を受けない。しかし、「Thunderbird」や「LibreOffice」、「Evolution」、「Evince」など、署名検証に「NSS」を使用しているメールクライアントやPDFビューアには影響があるという。アップデートが公開されたら、できるだけ早めに適用したい。