Las fallas de seguridad en las tecnologías más usadas pueden traer consecuencias desastrosas para múltiples desarrolladores o compañías diferentes. Un equipo de análisis de vulnerabilidades de Cisco Talos ha reportado la presencia de dos fallas de desbordamiento de búfer en Open Source Computer Vision (OpenCV), una biblioteca de programación aplicada a la visión por computadora en tiempo real.
Este es un reporte de seriedad considerable, pues esta biblioteca es utilizada por algunas de las compañías tecnológicas más importantes del mundo, incluyendo Google, Microsoft, Intel, IBM, Toyota, Yahoo, entre otras, principalmente para proyectos relacionados con tecnología de reconocimiento facial, robótica, sensores de movimiento, entre otras aplicaciones.
La primera falla, identificada como CVE-2019-5063, fue hallada en la función de persistencia estructural de datos de OpenCV v4.1.0, explotable usando un archivo JSON especialmente diseñado para provocar un desbordamiento de búfer, lo que podría generar daños posteriores.
Acorde a los expertos en análisis de vulnerabilidades, cuando se analiza un archivo XML que contiene una referencia a una entidad de carácter potencial y encuentra el caracter “&”, la API sigue extrayendo caracteres alfanuméricos hasta encontrar un punto y coma (;); si la cadena no coincide con ninguna de las cadenas en la instrucción de cambio, los datos se copian al búfer tal como son.
Este escenario permite a los actores de amenazas crear archivos XML especialmente diseñados para desencadenar el desbordamiento de búfer, acción que puede funcionar como vector de ataque inicial para llevar a cabo otras acciones maliciosas, como la ejecución de código en el sistema objetivo.
En cuanto a la segunda vulnerabilidad, identificada como CVE-2019-5064, también está presente en la característica de persistencia estructural de datos, y podría ser explotada empleando un archivo JSON especialmente diseñado.
Ambas vulnerabilidades ya han sido reportadas a los desarrolladores. Después de recibir el reporte, OpenCV mencionó que la versión 4.2.0, lanzada durante los últimos días de 2019, ya cuenta con las correcciones para estas dos fallas, por lo que se recomienda a los programadores que usan esta biblioteca actualizar a esta versión a la brevedad.
Este nuevo año comenzó con múltiples compañías lanzando importantes actualizaciones de seguridad; apenas hace unos días, especialistas en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS) reportaron el lanzamiento de una actualización masiva en Oracle para corregir casi 400 fallas de seguridad halladas en más de 90 productos diferentes.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
