漏洞起因
设计错误
危险等级
低
影响系统
Network Security Services (NSS) 3.x
Mozilla Firefox 3.5.x
Mozilla Firefox 3.6.x
Nokia Qt 4.6
不受影响系统
危害
远程攻击者可以利用漏洞进行证书伪造攻击。
攻击所需条件
攻击者必须访问使用NSS库的应用程序。
漏洞信息
网络安全服务(NSS)是一套用于跨平台开发启用了安全功能的客户端和服务器应用的库,用NSS编译的应用可以支持SSLv2、SSLv3、TLS等安全标准。
NSS库在校验使用IP地址的证书时,不正确允许通配符中的“*”字符应用到整个主机名,也就意味着可匹配多个域标记,这可导致把CN=*的证书处理为通用证书,攻击者利用漏洞可进行各种伪造攻击。
测试方法
厂商解决方案
用户可联系供应商获得最新的补丁程序:
http://www.mozilla.org/projects/security/pki/nss/
漏洞提供者
Richard Moore and Simon Ward, Westpoint Limited
0 条评论。