sábado, 26 de septiembre de 2020
|
Publicado por
el-brujo
|
Editar entrada
Facebook ha corregido una vulnerabilidad crítica en Instragram, la popular aplicación de
fotografías que permitía ejecutar código de forma remota en el
dispositivo de la víctima y hacerse con el control del dispositivo. El fallo fue descubierto mediante Fuzzing en librerías compartidas por investigadores de seguridad de CheckPoint
La vulnerabilidad, a la que se le ha asignado el identificador CVE-2020-1895, ha sido descubierta por el equipo de Check Point. Se trata de un desbordamiento de la memoria intermedia basada en ‘heap’ provocada por el módulo de procesamiento de imágenes de Instagram (Mozjpeg).
Un atacante podría provocar esta condición enviando a la víctima una
imagen especialmente manipulada. La próxima vez que la víctima abriese
la aplicación, el módulo encargado de decodificar la imagen provocaría
el desbordamiento aprovechado para explotar el dispositivo.
Los investigadores de Check Point descubrieron el fallo tras realizar
pruebas de fuzzing sobre librerías de código abierto no declaradas
utilizadas por la aplicación.
Módulos utilizados por la aplicación. Fuente: checkpoint.com
En concreto en el módulo Mozjpeg, encargado de la
codificación y decodificación de imágenes JPEG. Tras realizar múltiples
pruebas encontraron un error a la hora de validar las dimensiones de la
imagen en la función ‘read_jpg_copy_loop’ que permitiría asignar más
memoria que la permitida durante una operación ‘malloc’.
Si bien los investigadores no han conseguido controlar el desbordamiento de memoria para explotar el dispositivo,
sí que han detectado un comportamiento no deseado de la librería: el
aumento de hasta el 25% del tamaño de las imágenes «comprimidas» lo que
podría tener un importante impacto si tenemos en cuenta la cantidad de imágenes que se suben diariamente a Instagram.
El problema afecta a las versiones de 32 y 64 bits iguales o anteriores a la 128.0.0.26.128 y ya se encuentra corregido. Más información: Instagram_RCE: Code Execution Vulnerability in Instagram App for Android and iOS
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.
El ransomware llega a las máquinas de café: cafete...
Entradas populares
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Corregida vulnerabilidad ejecución remota de código en app Instagram para Android
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.