Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET
Tutoriales y Manuales
Entradas Mensuales
-
▼
2023
(Total:
710
)
-
▼
octubre
(Total:
41
)
-
Venden acceso al portal policial de Facebook e Ins...
-
PS5 Slim exigirá una conexión a Internet para pode...
-
Satya Nadella cree que Windows Phone podría haber ...
-
Spot, el perro robot de Boston Dynamics, ahora pue...
-
Fadblock: el adblock para YouTube que salta los an...
-
Detenido un hombre por grabar a mujeres bajo la fa...
-
41 estados demandan a Meta por supuesta adicción d...
-
Pierde su Apple Watch Ultra en un lago y lo encuen...
-
Las llamadas de audio y vídeo de Twitter (X) ya es...
-
Amazon, Booking, Expedia, Glassdoor, Tripadvisor y...
-
Afirman que pueden crackear un pendrive cifrado pa...
-
Logran que el navegador del iPhone y el iPad revel...
-
Amazon hará entregas con drones en Europa en 2024
-
Qualcomm presenta el SoC Snapdragon 8 Gen 3 para l...
-
Nueva "Protección IP" de Google Chrome ocultará la...
-
Qualcomm quiere revolucionar los PCs con el Snapdr...
-
Apple y Google desactivan los mapas de tráfico en ...
-
CVSS 4.0: Sistema de vulnerabilidades CVSS (Common...
-
Hackean Casio y se filtran datos personales de mil...
-
Xiaomi anuncia su nuevo sistema operativo HyperOS
-
Los creadores de ChatGPT tienen un detector de imá...
-
WhatsApp ya permite tener dos cuentas en el mismo ...
-
Elon Musk valora muy seriamente prohibir Twitter e...
-
Netflix dice adiós al plan básico en España: o ver...
-
Intel presenta generación 14th, Raptor Lake Refres...
-
Recompensas de hasta 15.000 dólares para el que en...
-
Registrado el mayor ataque DDoS de la historia con...
-
Oleada de estafas de hoteles a través de Booking
-
Metodología Zero Trust: fundamentos y beneficios
-
Microsoft revela como el grupo hacktivista Storm-1...
-
Apple abre una tienda en Mumbai y prohíbe a 22 mar...
-
Air Europa sufre un ciberataque que expone los dat...
-
Cómo proteger y cifrar los datos almacenados en Go...
-
Cómo funciona la corrección de errores
-
Windows 12 podría ser el primer sistema operativo ...
-
Cómo Google empeora sus búsquedas para mostrar más...
-
El Apple Watch Edition tenía un precio de 17.000 d...
-
Apple tiene "los medios" para sustituir a Google c...
-
Activar ECH en Chrome para acceder a webs bloquead...
-
Vulnerabilidad 0-day en biblioteca de códec de víd...
-
BunnyLoader, un nuevo Malware-as-a-Service
-
- ► septiembre (Total: 65 )
-
▼
octubre
(Total:
41
)
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
SQLmap es una de las herramienta más conocidas para hacer ataques SQLi (SQL Injection) escrita en Python. SQLmap se encarga de realizar pe... -
Microsoft le ha vuelto a poner la cara roja a Google. La compañía propietaria de Windows ha realizado una investigación para determinar qu... -
El ransomware es un tipo de malware que emplea cifrado asimétrico para secuestrar la información de la víctima y solicitar un rescate . ...
Vulnerabilidad 0-day en biblioteca de códec de vídeo libvpx afecta a Chrome, Firefox y Android
Al igual que un día cero crítico que Google reveló el 11 de septiembre, la nueva vulnerabilidad explotada no afecta solo a Chrome. Mozilla ya ha dicho que su navegador Firefox es vulnerable al mismo error, que se identifica como CVE-2023-5217.
Una vulnerabilidad de día cero (Zero day) en la biblioteca de códec de vídeo libvpx ha afectado a navegadores como Chrome y Firefox, así como a sistemas operativos como Android, desarrollado por Google, especialmente en los que usan el formato VP8.
Google ha anunciado recientemente una actualización de Chrome (117.0.5938) para Windows, Mac y Linux, que incluye diez correcciones de seguridad, entre entre las que se encuentra un parche para la identificada como CVE-2023-5217.
Etiquetada como de riesgo alto, esta brecha provocaría el "desbordamiento del búfer de codificación VP8 en libvpx", según una actualización del canal estable para Escritorio publicada en su blog.
Esto indica que esta vulnerabilidad de día cero podría haber llegado a los usuarios que utilizan dicho 'software' para codificar sus vídeos en este formato de compresión, según ha aclarado el analista senior de Analygence Will Dorman a Ars Technica.
Desde este mismo medio también señalan que la mayoría de los navegadores utilizan la biblioteca de códex de vídeo libvpx y que otros de los proveedores y plataformas que lo incluyen con Skype, Adobe, VLC o Android. Aunque por ello no están necesariamente en riesgo, ya que la vulnerabilidad se encuentra en el formato VP8.
Este 'exploit' se habría extendido a diferentes servidores, que han implementado parches de seguridad para frenar su actividad. Es el caso de Chrome (117.0.5938.132), Firefox (118.0.1), Firefox ESR (115.3.1) y Firefox para Android (118.1).
Google, por su parte, ha aclarado que ha descubierto que "un proveedor de vigilancia comercial" ha explotado esta vulnerabilidad, como señala la investigadora de Seguridad y miembro del Grupo de Análisis y Amenazas de la compañía, Maddie Stone. Esta, a su vez, ha puntualizado que se lanzó el parche de seguridad dos días después de haberse detectado la brecha.
Y al igual que CVE-2023-4863 de hace 17 días, este nuevo error en una biblioteca de códigos ampliamente utilizada para procesar archivos multimedia, específicamente aquellos en formato VP8.
Las páginas aquí y aquí enumeran cientos de paquetes solo para Ubuntu y Debian que dependen de la biblioteca conocida como libvpx. La mayoría de los navegadores lo utilizan, y la lista de software o proveedores que lo admiten parece un quién es quién en Internet, incluidos Skype, Adobe, VLC y Android. Mozilla también lanzó el jueves el parche correspondiente.
No está claro cuántos paquetes de software que dependen de libvpx serán vulnerables a CVE-2023-5217. La divulgación de Google dice que este día cero se aplica a la codificación de vídeo. Por el contrario, el exploit en libwebp, la biblioteca de códigos vulnerable a los ataques de principios de mes, funcionaba para codificar y decodificar.
En otras palabras, CVE-2023-5217 requiere un dispositivo específico para crear medios en formato VP8. Em cambio CVE-2023-4863 podría explotarse cuando un dispositivo simplemente muestra una imagen con un código determinado.
"El hecho de que un paquete dependa de libvpx NO significa necesariamente que sea vulnerable", escribió Will Dorman, analista principal senior de Analygence, en una entrevista en línea. "La vulnerabilidad está en codificación VP8, por lo que si algo usa libvpx solo para decodificar, no tienen nada de qué preocuparse". Incluso con esa importante distinción, es probable que haya muchos más paquetes además de Chrome y Firefox que requerirán parches. "Los navegadores Firefox, Chrome (y los basados en Chromium), además de otras cosas que exponen las capacidades de codificación VP8 desde libvpx a JavaScript (es decir, navegadores web), parecen estar en riesgo", dijo.
Actualmente hay pocos detalles disponibles sobre los ataques disponibles que aprovecharon este último día cero. La publicación de Google sólo decía que el código que explota la falla "existe en la naturaleza". Una publicación en las redes sociales de Maddie Stone, investigadora de seguridad del Grupo de Análisis de Amenazas de Google, dijo que "el Zero-Day estaba sindo utilizado por un proveedor de vigilancia comercial". Google le dio crédito a Clement Lecigne del TAG de Google por descubrir la vulnerabilidad el lunes, sólo dos días antes del parche que lanzó el miércoles.
- El día cero está parcheado en Chrome 117.0.5938.132, Firefox 118.0.1, Firefox ESR 115.3.1, Firefox Focus para Android 118.1 y Firefox para Android 118.1.
Hay otras similitudes entre los dos días cero. Ambos surgen de desbordamientos de búfer que permiten la ejecución remota de código con poca o ninguna interacción por parte del usuario final, excepto visitar una página web maliciosa. Ambos afectan a las bibliotecas multimedia que Google publicó hace más de una década. Y ambas bibliotecas están escritas en C, un lenguaje de programación de 50 años de antigüedad ampliamente considerado inseguro porque es propenso a sufrir vulnerabilidades de corrupción de memoria.
Una cosa es diferente esta vez: la redacción en el CVE asignado por Google el miércoles es clara: la vulnerabilidad afecta no solo a Chrome sino también a libvpx. Cuando Google asignó CVE-2023-4863, solo mencionó que la vulnerabilidad afectaba a Chrome, lo que generó confusión que, según los críticos, ralentizó la aplicación de parches por parte de otros paquetes de software afectados.
Probablemente pasarán algunos días más hasta que quede claro el alcance completo de CVE-2023-5217. Los desarrolladores del proyecto libvpx no respondieron de inmediato a un correo electrónico preguntando si hay disponible una versión parcheada de la biblioteca o qué se requiere específicamente para explotar el software que utiliza la biblioteca. Por ahora, las personas que utilizan aplicaciones, frameworks de software o sitios web que involucran VP8, especialmente para codificación de video, deben tener cuidado.
Este último descubrimiento eleva a cinco el número de vulnerabilidades de día cero en Google Chrome para las que se han lanzado parches este año:
- CVE-2023-2033 (CVSS score: 8.8) - Type confusion in V8
- CVE-2023-2136 (CVSS score: 9.6) - Integer overflow in Skia
- CVE-2023-3079 (CVSS score: 8.8) - Type confusion in V8
- CVE-2023-4863 (CVSS score: 8.8) - Heap buffer overflow in WebP
- CVE-2023-5217 - heap-based buffer overflowin the VP8 compression format in libvpx.
Fuentes:
https://blog.segu-info.com.ar/2023/09/nuevo-zero-day-de-chrome-afecta.html
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.