Mozilla 已解决影响其跨平台网络安全服务 (NSS) 密码库集的关键内存损坏漏洞。

NSS可用于开发支持 SSL v3、TLS、PKCS #5、PKCS #7、PKCS #11、PKCS #12、S/MIME、X.509 v3 证书和各种其他证书的启用安全的客户端和服务器应用程序安全标准。

这个安全漏洞是 由谷歌漏洞研究员 Tavis Ormandy 在 3.73 或 3.68.1 ESR 之前的 NSS 版本中 发现的，他也称之为 BigSig，现在被追踪为 CVE-2021-43527。
在使用易受攻击的 NSS 版本（该错误已在 NSS 3.68.1 和 NSS 3.73 中修复）中处理电子邮件客户端和 PDF 查看器中的 DER 编码 DSA 或 RSA-PSS 签名时，它可能导致 基于堆的缓冲区溢出。

成功利用堆溢出的影响范围从程序崩溃和任意代码执行到绕过安全软件（如果实现代码执行）。

自 2012 年 10 月以来发布的所有版本都存在漏洞

“使用NSS处理中CMS，S / MIME，PKCS＃7或PKCS＃12编码签名应用程序都可能受到影响，” Mozilla的说，在今天发布的一份安全公告。

“使用 NSS 进行证书验证或其他 TLS、X.509、OCSP 或 CRL 功能的应用程序可能会受到影响，具体取决于