Especialistas en ciberseguridad reportan la detección de múltiples vulnerabilidades en el popular editor de texto Vim. Según el reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas el despliegue de múltiples tareas de hacking.
A continuación se presentan breves descripciones de algunas de las vulnerabilidades reportadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).
CVE-2022-0413: Un error use-after-free permitiría a los actores de amenazas remotos usar archivos especialmente diseñados para la ejecución de código arbitrario en los sistemas afectados.
Esta es una vulnerabilidad de alta severidad y recibió un puntaje CVSS de 7.7/10.
CVE-2022-0156: Un error use-after-free al procesar líneas dentro de archivos permitiría a los hackers remotos enviar archivos especialmente diseñados con el fin de ejecutar código arbitrario en los sistemas de las víctimas.
Esta es una vulnerabilidad de alta severidad y recibió un puntaje CVSS de 7.7/10.
CVE-2022-0158: Un error de límite al procesar líneas que comienzan con el carácter “$” permitiría a los atacantes remotos usar archivos especialmente diseñados para ejecutar código arbitrario en los sistemas de las víctimas.
Esta es una vulnerabilidad de alta severidad y recibió un puntaje CVSS de 7.7/10.
CVE-2022-0213: Un error de límite al procesar archivos permitiría a los actores de amenazas desencadenar un desbordamiento de búfer basado en montón para ejecutar código arbitrario en el sistema afectado.
Esta es una vulnerabilidad de alta severidad y recibió un puntaje CVSS de 7.7/10.
CVE-2022-0261: Un error de límite permitiría a los actores de amenazas usar archivos especialmente diseñados para desencadenar un desbordamiento de búfer basado en montón y ejecutar código arbitrario en el sistema afectado.
La falla recibió un puntaje CVSS de 7.7/10.
CVE-2022-0318: Un error de límite permite a los actores de amenazas remotos desencadenar un desbordamiento de búfer basado en montón y ejecutar código arbitrario.
Esta falla recibió una puntuación CVSS de 7.7/10.
CVE-2022-0351: Un error de límite al procesar archivos permitiría a los atacantes remotos crear un archivo especialmente diseñado para ejecutar código arbitrario en los sistemas afectados.
Esta es una vulnerabilidad de alta severidad y recibió un puntaje CVSS de 7.7/10.
CVE-2022-0359: Un error de límite permitiría a un atacante remoto desencadenar un desbordamiento de búfer basado en montón para ejecutar código arbitrario.
Esta falla recibió una puntuación CVSS de 7.7/10.
CVE-2022-0696: Un error de desreferencia de puntero NULL en Vim al cambiar de pestaña en la ventana de la línea de cmd permitiría a los actores de amenazas remotos realizar un ataque de denegación de servicio (DoS).
La falla recibió un puntaje CVSS de 3.8/10.
CVE-2022-0685: La validación incorrecta de entradas al procesar caracteres especiales de varios bytes permitiría a los actores de amenazas usar archivos especialmente diseñados para bloquear la aplicación.
La falla recibió una puntuación CVSS de 3.8/10.
CVE-2022-0629: Un error de límite al usar muchos caracteres de composición en el mensaje de error permitiría a los actores de amenazas remotos no autenticados desencadenar un desbordamiento de búfer y ejecutar código arbitrario en los sistemas afectados.
Esta es una vulnerabilidad de alta severidad y recibió un puntaje CVSS de 7.7/10.
CVE-2022-0572: Un error de límite al usar repetidamente la función :retab permitiría a los actores de amenazas remotos desencadenar un desbordamiento de búfer basado en montón para ejecutar código arbitrario en el sistema afectado.
Esta falla recibió una puntuación CVSS de 7.7/10.
CVE-2022-0554: Un error de límite al leer archivos permitiría a los actores de amenazas remotos usar archivos especialmente diseñados para bloquear la aplicación.
La falla recibió un puntaje CVSS de 3.8/10.
CVE-2022-0443: Un error use-after-free al usar memoria liberada con :lopen y :bwipe permitiría a los actores de amenazas remotos ejecutar código arbitrario en los sistemas de las víctimas.
Esta es una vulnerabilidad de alta severidad y recibió un puntaje CVSS de 7.7/10.
CVE-2022-0417: Un error de límite permitiría a los actores de amenazas remotos enviar archivos especialmente diseñados para bloquear la aplicación afectada.
La falla recibió una puntuación CVSS de 3.8/10.
CVE-2022-0408: Un error de límite al buscar sugerencias gramaticales permitiría a los hackers remotos no autenticados ejecutar código arbitrario en los sistemas de las víctimas usando archivos especialmente diseñados.
Esta falla recibió una puntuación CVSS de 7.7/10.
CVE-2022-0714: Un error de límite permitiría a los atacantes remotos desencadenar un desbordamiento de búfer basado en el montón para la ejecución de código arbitrario en el sistema afectado.
Esta es una vulnerabilidad de alta severidad y recibió un puntaje CVSS de 7.7/10.
CVE-2021-4069: Un error use-after-free permitiría a los atacantes remotos ejecutar código arbitrario en los sistemas afectados usando archivos especialmente diseñados.
Esta falla recibió una puntuación CVSS de 7.7/10.
CVE-2021-4166: Una condición de límite permitiría a los atacantes remotos crear archivos especialmente diseñados para ejecutar código arbitrario en los sistemas afectados.
Esta es una vulnerabilidad de baja severidad y recibió un puntaje CVSS de 2.7/10.
Según el reporte, las fallas residen en todas las versiones de Vim anteriores a v8.2.4009.
Si bien las fallas pueden ser explotadas por actores de amenazas no autenticados, hasta el momento no se han detectado intentos de explotación activa o alguna variante de malware vinculada a este ataque. Aún así, se recomienda a los usuarios de Vim aplicar las actualizaciones necesarias para mitigar completamente el riesgo de explotación.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad