Este exploit masivo permite a los piratas informáticos violar aplicaciones como Chrome, 1Password y Telegram

Aranzulla de Los Pobres

Se acaba de descubrir un error de seguridad masivo que afecta a las imágenes WebP utilizadas en un número incalculable de sitios web y aplicaciones, y podría permitir que los piratas informáticos accedan a su computadora y extraigan datos de ella. De hecho, Google ya ha visto cómo se explota activamente en la naturaleza . Por eso, es esencial que parchees tu computadora lo antes posible.

El descubrimiento ha sido detallado por el investigador Alex Ivanovs, quien escribió sobre el error en una publicación de blog . En este momento, parece afectar a casi todos los mejores navegadores web , incluidos Chrome, Firefox, Edge y Brave. Las imágenes WebP se utilizan en toda la web, lo que significa que una gran cantidad de sitios y aplicaciones podrían verse afectadas.

Una mano oscura y misteriosa escribiendo en una computadora portátil por la noche.

El exploit se relaciona con lo que se llama un error de desbordamiento de montón en un códec que interpreta y muestra imágenes WebP. Este error de desbordamiento ocurre cuando se envían más datos a la memoria "montón" de una aplicación de los que está diseñada para contener. Esto puede permitir que un código maligno reemplace el código bueno, con el resultado de que las aplicaciones pueden comportarse de maneras inesperadas (y potencialmente maliciosas).

En el caso de los archivos WebP, un atacante podría crear una imagen WebP que oculte código malicioso. Cuando ve esta imagen, el código podría ejecutarse, lo que permitiría al atacante obtener acceso a su computadora o robar datos almacenados en ella, que podrían incluir información increíblemente confidencial como sus contraseñas o detalles de su tarjeta de crédito.

Una gran cantidad de sitios web utilizan archivos WebP debido a su excelente equilibrio entre calidad y tamaño de archivo, por lo que la cantidad de usuarios que podrían verse afectados por este exploit es enorme. Pero eso no es lo único que hace que este error sea tan grave.

No sólo sitios web

Un monitor grande que muestra una advertencia de violación de seguridad.

Debido a que el error afecta un códec WebP, también se encuentra en muchas aplicaciones que necesitan una forma de mostrar imágenes WebP. Las aplicaciones afectadas incluyen Telegram , 1Password, Signal, LibreOffice , el conjunto de aplicaciones de diseño Affinity y muchas más.

Los desarrolladores de varias de estas aplicaciones han comenzado a implementar correcciones, y 1Password, Chrome, Firefox, Edge y Brave han publicado actualizaciones. Apple también publicó una actualización para macOS Ventura que supuestamente corrige el error.

Ivanovs dice que la vulnerabilidad fue reportada por primera vez por el equipo de Arquitectura e Ingeniería de Seguridad de Apple, junto con The Citizen Lab de la Escuela Munk de la Universidad de Toronto. El error se envió el 6 de septiembre de 2023 y tiene el identificador CVE-2023-4863 .

Debido a la gravedad potencial de este error, debe verificar si hay actualizaciones en sus aplicaciones lo antes posible y asegurarse de actualizarlas lo más rápido posible. Esa es la mejor manera de mantener su computadora a salvo de este exploit.