Vulnerabilidad día cero de ejecución remota de código en PowerISO

Especialistas en ciberseguridad reportan el hallazgo de una vulnerabilidad día cero en PowerISO, una aplicación usada para crear, montar y emular, comprimir o cifrar imágenes virtuales de CD y DVD, desarrollada por la empresa china Power Software Ltd. Acorde al reporte, la explotación exitosa de esta falla permitiría a los actores de amenazas desencadenar una escritura fuera de los límites.

Identificada como CVE-2021-21871, esta falla existe debido a un error de límite durante el procesamiento de entradas al procesar entradas que no son de confianza en la funcionalidad DMG File Format Handler. Los hackers remotos pueden crear un archivo DMG especialmente diseñado, activar la escritura fuera de límites y ejecutar código arbitrario en el sistema objetivo.  

La vulnerabilidad recibió un puntaje de 8.1/10 en la escala del Common Vulnerability Scoring System (CVSS) y su explotación permitiría a los actores de amenazas comprometer el sistema objetivo por completo. Acorde al reporte, la falla reside en PowerISO v7.9.

La vulnerabilidad puede ser explotada de forma remota por actores de amenazas no autenticados, aunque no se han detectado intentos de explotación en escenarios reales. No obstante, la falla no ha sido corregida, por lo que se requiere que los administradores de implementaciones afectadas mantenerse al tanto de cualquier anuncio relacionado con la corrección de estas fallas.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).