miércoles, 27 de septiembre de 2023

Esta vulnerabilidad de día cero podría usarse para hackear iPhone, Android, Chrome y muchos otros programas

Google ha designado un nuevo número CVE para una importante vulnerabilidad de seguridad descubierta en la biblioteca de imágenes libwebp, que se utiliza para mostrar imágenes en formato WebP. Se ha descubierto que esta falla es explotada por usuarios malintencionados. Una vulnerabilidad importante que existía en Google Chrome para Windows, macOS y Linux se solucionó mediante una actualización de seguridad proporcionada por Google. Se asignó un CVE ID de CVE-2023-4863 a la falla de seguridad y se calificó la vulnerabilidad con una gravedad de 8,8 (alta).

Como resultado del análisis de la vulnerabilidad, se encontró que la biblioteca libwebp incluía una vulnerabilidad de desbordamiento del búfer de montón. Esta vulnerabilidad permite a un actor de amenazas realizar una escritura en memoria fuera de los límites utilizando una página HTML diseñada para desencadenar el problema.

Sin embargo, Google ha vuelto a informar de esta vulnerabilidad, que ahora se conoce como CVE-2023-5129 y está siendo monitoreada. Después de una mayor investigación, se descubrió que la vulnerabilidad conocida como CVE-2023-41064 y ésta también afectaba a la misma biblioteca libwebp. El desarrollo se produce después de que Apple, Google y Mozilla proporcionaran soluciones para abordar una falla que puede permitir la ejecución de código arbitrario al procesar una imagen cuidadosamente diseñada. El error se rastrea por separado como CVE-2023-41064 y CVE-2023-4863. La ejecución de código arbitrario podría provocar una violación de la seguridad. Es probable que ambos problemas sean soluciones al mismo problema fundamental que existe en la biblioteca. Se afirma que CVE-2023-41064 se vinculó con CVE-2023-41061 como parte de una cadena de ataque de iMessage sin clic denominada BLASTPASS para entregar un malware mercenario conocido como Pegasus. según afirma el Citizen Lab. En este momento, no tenemos acceso a ningún otro detalle técnico.

Pero la decisión de “alcanzar erróneamente” CVE-2023-4863 como una vulnerabilidad en Google Chrome contradecía la realidad de que también afecta prácticamente a todos los demás programas que dependen de la biblioteca libwebp para manejar imágenes WebP, lo que demuestra que tuvo un efecto más amplio de lo que era. originalmente se suponía. CVE-2023-4863 fue descubierto por investigadores de seguridad de Google y su seguimiento se realiza mediante el identificador CVE.

Una investigación realizada por Rezillion durante la última semana ha descubierto una lista completa de programas de software, bibliotecas de códigos, marcos y sistemas operativos de uso frecuente que son susceptibles a la vulnerabilidad CVE-2023-4863.

Además, el investigador de seguridad que encontró las vulnerabilidades CVE-2023-41064 y CVE-2023-4863 informó sobre ambas. Esto indica que el investigador llamó la atención de ambas empresas sobre este tema, lo que llevó a la creación de dos CVE distintos en el pasado.

El cargo Esta vulnerabilidad de día cero podría usarse para hackear iPhone, Android, Chrome y muchos otros programas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

No hay comentarios.:

Publicar un comentario