Las fallas de seguridad en las tecnologías más usadas pueden traer consecuencias desastrosas para múltiples desarrolladores o compañías diferentes. Un equipo de análisis de vulnerabilidades de Cisco Talos ha reportado la presencia de dos fallas de desbordamiento de búfer en Open Source Computer Vision (OpenCV), una biblioteca de programación aplicada a la visión por computadora en tiempo real.
Este es un reporte de seriedad considerable, pues esta biblioteca es utilizada por algunas de las compañías tecnológicas más importantes del mundo, incluyendo Google, Microsoft, Intel, IBM, Toyota, Yahoo, entre otras, principalmente para proyectos relacionados con tecnología de reconocimiento facial, robótica, sensores de movimiento, entre otras aplicaciones.
La primera falla, identificada como CVE-2019-5063, fue hallada en la función de persistencia estructural de datos de OpenCV v4.1.0, explotable usando un archivo JSON especialmente diseñado para provocar un desbordamiento de búfer, lo que podría generar daños posteriores.
Acorde a los expertos en análisis de vulnerabilidades, cuando se analiza un archivo XML que contiene una referencia a una entidad de carácter potencial y encuentra el caracter “&”, la API sigue extrayendo caracteres alfanuméricos hasta encontrar un punto y coma (;); si la cadena no coincide con ninguna de las cadenas en la instrucción de cambio, los datos se copian al búfer tal como son.
Este escenario permite a los actores de amenazas crear archivos XML especialmente diseñados para desencadenar el desbordamiento de búfer, acción que puede funcionar como vector de ataque inicial para llevar a cabo otras acciones maliciosas, como la ejecución de código en el sistema objetivo.
En cuanto a la segunda vulnerabilidad, identificada como CVE-2019-5064, también está presente en la característica de persistencia estructural de datos, y podría ser explotada empleando un archivo JSON especialmente diseñado.
Ambas vulnerabilidades ya han sido reportadas a los desarrolladores. Después de recibir el reporte, OpenCV mencionó que la versión 4.2.0, lanzada durante los últimos días de 2019, ya cuenta con las correcciones para estas dos fallas, por lo que se recomienda a los programadores que usan esta biblioteca actualizar a esta versión a la brevedad.
Fuente: Noticias de Seguridad Informática
0 Comentarios