Mozilla diffuse un patch pour Network Security Services. Il s'agit d'un ensemble d'outils et bibliothèques logicielles open source utilisé pour le déploiement d'applications s'appuyant sur des standards de sécurité. Récemment, on appris que c'est grâce à NSS que Netflix arrivera sur Linux.
NSS se retrouve dans plusieurs produits de Mozilla dont son navigateur Firefox, mais également dans Google Chrome et Opera. Firefox tout comme le navigateur Chrome ont ainsi droit à une mise à jour de sécurité, mais d'autres logiciels devraient suivre puisque toutes les versions de NSS sont affectées.
Mozilla considère la vulnérabilité critique dans la mesure où elle touche à la validation des signatures électroniques dans des connexions sécurisées TLS (ou SSL pour son ancien nom ; connexions HTTPS).
L'exploitation de la vulnérabilité permet à des attaquants de créer de faux certificats RSA. " Des utilisateurs sur un réseau compromis pourraient être dirigés vers des sites utilisant un certificat électronique frauduleux et se faisant passer pour des sites légitimes. "
Les risques habituels sont alors la compromission d'identifiants et le vol de données personnelles, le téléchargement d'un malware depuis un site faussement sûr.
La vulnérabilité a été rapportée par Antoine Delignat-Lavaud qui fait partie de l'équipe de recherche Prosecco de l'Inria à Paris. Il a découvert que NSS est vulnérable à une variante d'une attaque jadis mise au jour par Daniel Bleichenbacher.