CVE-2015-2730 : Mozilla Network Security Services (NSS) antes de 3.19.1, como se usa en Mozilla Firefox antes de 39.0, Firefox ESR 31.x antes de 31.8 y 38.x antes de 38.1, y otros productos, no realiza correctamente las multiplicaciones de criptografía de curva elíptica (ECC), lo que facilita que los atacantes remotos puedan falsificar firmas de ECDSA a través de vectores no especificados.
Las fórmulas que aparecen en ecp_jac.c no manejan el caso cuando la adición produce infinito o agrega un punto a sí misma. Un atacante puede usar esto para generar firmas especialmente diseñadas que hacen que el algoritmo de validación calcule el punto incorrecto.
Para obtener más detalles, consulte el siguiente enlace: enlace
¿Podría este problema de criptografía de curva elíptica llevar realmente a firmas ECDSA falsas o es un ataque puramente teórico?
¿Los problemas de corrección de ECC pueden comprometer la seguridad de otras maneras?