Uppdaterad 2009-08-03 12:58 | Publicerad 2009-07-31 11:16 - Sårbarhet, Webbläsare, Mozilla, krypto, protokoll

SR09-137 Mozilla - Sårbarheter i Network Security Services (NSS)

Ett flertal sårbarheter har upptäckts i NSS som kan leda till att förfalskade certifikat används eller kod exekveras på ett sårbart system.

Problembeskrivning

CVE-referens: CVE-2009-2408 CVE-2009-2404 CVE-2009-2409

Dan Kaminsky och Moxie Marlinspike har upptäckt flera sårbarheter i kod-biblioteket Network Security Services (NSS) från Mozilla. NSS används bland annat av OpenSSL, GnuTLS och Mozilla Firefox.

Sårbarheterna går att utnyttja för att förfalska SSL-certifikat (CVE-2009-2409 och CVE-2009-2408) men även exekvera kod på ett sårbart system (CVE-2009-2404).

Bland Mozillas produkter är Firefox, Thunderbird, SeaMonkey och NSS sårbara. Version 3.5 av Firefox samt 3.12.3 är NSS är dock ej sårbara.

Påverkade versioner

Firefox innan version 3.5
NSS innan version 3.12.3

Mer information och programrättningar

http://www.mozilla.org/projects/security/pki/nss/
http://www.h-online.com/security/SSL-flaw-revealed-at-Black-Hat--/news/113880
http://www.blackhat.com/presentations/bh-usa-09/MARLINSPIKE/BHUSA09-Marlinspike-DefeatSSL-SLIDES.pdf
https://bugzilla.redhat.com/show_bug.cgi?id=510251
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2009-2409
http://secunia.com/advisories/36093/
http://www.securitytracker.com/alerts/2009/Jul/1022632.html
http://www.securitytracker.com/alerts/2009/Jul/1022633.html
http://www.securitytracker.com/alerts/2009/Jul/1022631.html
http://www.securityfocus.com/bid/35888
http://www.securityfocus.com/bid/35891
http://www.mozilla.org/security/announce/2009/mfsa2009-42.html
http://www.mozilla.org/security/announce/2009/mfsa2009-43.html