Уязвимость переменного времени выполнения при генерации ECDSA подписей в Firefox и Firefox для Android, связанная с удалением выравнивания в "nonce"
Описание
При генерации подписи ECDSA выравнивание, применяемое в nonce для обеспечения постоянного времени выполнения скалярного умножения, было удалено. Это приводит к выполнению с переменным временем в зависимости от секретных данных.
Затронутые версии ПО
- Firefox версий ниже 80
- Firefox для Android версий ниже 80
Тип уязвимости
Переменное время выполнения
Ссылки
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
- Vendor Advisory
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
4.7 Medium
CVSS3
1.9 Low
CVSS2
Дефекты
Связанные уязвимости
During ECDSA signature generation, padding applied in the nonce designed to ensure constant-time scalar multiplication was removed, resulting in variable-time execution dependent on secret data. This vulnerability affects Firefox < 80 and Firefox for Android < 80.
During ECDSA signature generation, padding applied in the nonce designed to ensure constant-time scalar multiplication was removed, resulting in variable-time execution dependent on secret data. This vulnerability affects Firefox < 80 and Firefox for Android < 80.
During ECDSA signature generation, padding applied in the nonce design ...
During ECDSA signature generation, padding applied in the nonce designed to ensure constant-time scalar multiplication was removed, resulting in variable-time execution dependent on secret data. This vulnerability affects Firefox < 80 and Firefox for Android < 80.
Уязвимость набора библиотек NSS (Network Security Services), связанная с использованием криптографического алгоритма ECDSA (Elliptic Curve Digital Signature Algorithm), содержащего дефекты, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
EPSS
4.7 Medium
CVSS3
1.9 Low
CVSS2