\n<\/aside>\n<\/p>\n
La informaci\u00f3n incompleta incluida en revelaciones recientes de Apple y Google que informan sobre vulnerabilidades cr\u00edticas de d\u00eda cero bajo explotaci\u00f3n activa en sus productos ha creado un \u00abgran punto ciego\u00bb que est\u00e1 provocando que una gran cantidad de ofertas de otros desarrolladores no se parcheen, dijeron investigadores el jueves.<\/p>\n
Hace dos semanas, Apple inform\u00f3 que los actores de amenazas estaban explotando activamente una vulnerabilidad cr\u00edtica en iOS para poder instalar un software esp\u00eda de espionaje conocido como Pegasus. Los ataques utilizaron un m\u00e9todo de cero clic, lo que significa que no requirieron interacci\u00f3n por parte de los objetivos. Simplemente recibir una llamada o un mensaje de texto en un iPhone fue suficiente para infectarse con Pegasus, que se encuentra entre los programas maliciosos m\u00e1s avanzados conocidos del mundo.<\/p>\n
\u201cGran punto ciego\u201d<\/h2>\n Apple dijo que la vulnerabilidad, rastreada como CVE-2023-41064, se debi\u00f3 a un error de desbordamiento del b\u00fafer en ImageIO, un marco propietario que permite a las aplicaciones leer y escribir la mayor\u00eda de los formatos de archivos de im\u00e1genes, que incluyen uno conocido como WebP. Apple atribuy\u00f3 el descubrimiento del d\u00eda cero a Citizen Lab, un grupo de investigaci\u00f3n de la Escuela Munk de la Universidad de Toronto que sigue los ataques de los estados-naci\u00f3n contra disidentes y otros grupos en riesgo.<\/p>\n
Cuatro d\u00edas despu\u00e9s, Google inform\u00f3 de una vulnerabilidad cr\u00edtica en su navegador Chrome. La compa\u00f1\u00eda dijo que la vulnerabilidad era lo que se conoce como un desbordamiento del b\u00fafer de mont\u00f3n que estaba presente en WebP. Google continu\u00f3 advirtiendo que exist\u00eda un exploit para la vulnerabilidad. Google dijo que la vulnerabilidad, designada como CVE-2023-4863, fue reportada por el equipo de Ingenier\u00eda y Arquitectura de Seguridad de Apple y Citizen Lab.<\/p>\n
R\u00e1pidamente surgieron especulaciones, incluso por parte m\u00eda, de que una gran cantidad de similitudes suger\u00edan fuertemente que el error subyacente para ambas vulnerabilidades era el mismo. El jueves, investigadores de la firma de seguridad Rezillion publicaron evidencia que, seg\u00fan dijeron, hac\u00eda \u00abaltamente probable\u00bb que ambos surgieran del mismo error, espec\u00edficamente en libwebp, la biblioteca de c\u00f3digos que las aplicaciones, los sistemas operativos y otras bibliotecas de c\u00f3digos incorporan para procesar im\u00e1genes WebP.<\/p>\n
En lugar de que Apple, Google y Citizen Lab coordinaran e informaran con precisi\u00f3n el origen com\u00fan de la vulnerabilidad, optaron por utilizar una designaci\u00f3n CVE separada, dijeron los investigadores. Los investigadores concluyeron que \u201cmillones de aplicaciones diferentes\u201d seguir\u00edan siendo vulnerables hasta que ellas tambi\u00e9n incorporaran la soluci\u00f3n libwebp. Eso, a su vez, dijeron, imped\u00eda que los sistemas automatizados que los desarrolladores utilizan para rastrear vulnerabilidades conocidas en sus ofertas detectaran una vulnerabilidad cr\u00edtica que est\u00e1 bajo explotaci\u00f3n activa.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\n\u00abDado que la vulnerabilidad est\u00e1 incluida en el producto general que contiene la dependencia vulnerable, la vulnerabilidad s\u00f3lo ser\u00e1 marcada por esc\u00e1neres de vulnerabilidad para estos productos espec\u00edficos\u00bb, escribieron los investigadores de Rezillion, Ofri Ouzan y Yotam Perkal. \u00abEsto crea un ENORME punto ciego para las organizaciones que conf\u00edan ciegamente en los resultados de su esc\u00e1ner de vulnerabilidades\u00bb.<\/p>\n
Google ha sido criticado adem\u00e1s por limitar el alcance de CVE-2023-4863 a Chrome en lugar de libwebp. Adem\u00e1s, la descripci\u00f3n oficial describe la vulnerabilidad como un desbordamiento del b\u00fafer de mont\u00f3n en WebP en Google Chrome.<\/p>\n
En un correo electr\u00f3nico, un representante de Google escribi\u00f3: \u201cMuchas plataformas implementan WebP de manera diferente. No tenemos ning\u00fan detalle sobre c\u00f3mo el error afecta a otros productos. Nuestro objetivo era solucionar el problema de la comunidad de Chromium y de los usuarios afectados de Chromium lo antes posible. Es una buena pr\u00e1ctica que los productos de software realicen un seguimiento de las bibliotecas de las que dependen para detectar correcciones y mejoras de seguridad\u201d.<\/p>\n
El representante se\u00f1al\u00f3 que el formato de imagen WebP se menciona en su divulgaci\u00f3n y en la p\u00e1gina oficial de CVE. El representante no explic\u00f3 por qu\u00e9 el CVE oficial y la divulgaci\u00f3n de Google no mencionaban la biblioteca libwebp, ampliamente utilizada, o que otro software probablemente tambi\u00e9n fuera vulnerable.<\/p>\n
El representante de Google no respondi\u00f3 a una pregunta sobre si CVE-2023-4863 y CVE-2023-41064 se deb\u00edan a la misma vulnerabilidad. Citizen Lab y Apple no respondieron a las preguntas enviadas por correo electr\u00f3nico antes de que se publicara esta historia.<\/p>\n<\/p><\/div>\n
Source link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"im\u00e1genes falsas La informaci\u00f3n incompleta incluida en revelaciones recientes de Apple y Google que informan sobre vulnerabilidades cr\u00edticas de d\u00eda cero bajo explotaci\u00f3n activa en sus productos ha creado un…<\/p>\n","protected":false},"author":1,"featured_media":819537,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[2450,7939,6194,7084,1312,15032,3672,1119,82418,246,8,107,2935],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/819536"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=819536"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/819536\/revisions"}],"predecessor-version":[{"id":819538,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/819536\/revisions\/819538"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/819537"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=819536"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=819536"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=819536"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}