Vulnerabilidad en Graphite que afecta a Linux, OpenOffice y Firefox

metasploit

Graphite es una librería en la que se ha detectado un problema de seguridad, una vulnerabilidad que puede comprometer el software que haga uso de ella, entre otros proyectos afectados están Linux, OpenOffice y Firefox. Se trata de una librería, o mejor dicho, una biblioteca encargada del procesamiento de fuentes de letras y la que tiene cuatro vulneraiblidades que podría permitir el control remoto de un equipo afectado.

Graphite es una biblioteca muy utilizada, por lo que afecta a muchos proyectos que hacen uso de ella, también otros nombres no citados en el párrafo anterior como LibreOffice, WordPad, Pale Moon, Thunderbird y más. Y es que Graphite es bastante práctica, no solo para serivir de intérprete de fuentes, sino también como herramienta para crear otras fuentes nuevas con su editor gráfico integrado.

Cisco Talos han sido los encargados de descubrirlas, y aunque existen cuatro, hay una que es la más peligrosa de todas, la catalogada como CVE-2016-1521. Ésta podría permitir al atacante producir un mal funcionamiento del equipo y ejecutar código de forma remota, comprometiendo la integridad y seguridad de la víctima. Y lo peor de todo es que llevan ahí desde hace mucho tiempo, por lo que han podido ser explotadas para atacar a equipos sin que nos hayamos percatado.

No obstante, no hay que alarmarse demasiado, pero desde Cisco han destacado que un ciberdelincuente podría usar una web con un CSS mal formateado para crear un ataque y usar la librería como pasarela para ejecutar código de forma remota y hacer multitud de operaciones en el equipo atacado. Y de todos los proyectos citados, el más peligroso es el navegador Firefox, ya que su interactuación con la red hacen una mezcla explosiva para poder ser aprovechada con malas intenciones.

Por el momento no se sabe si la versión 2-1.3.5 de Graphite lanzada en enereo tiene estos errores corregidos…


4 comentarios

  1.   gij dijo

    Este es el año de linux. Estamos rompiendo récord en vulnerabilidades y todavía no vamos ni a mitad de año. :(

  2.   Sergio dijo

    Aclaremos que la vulnerabilidad es de la biblioteca, y consecuentemente se extiende a los programas que hacen uso de ella, en este caso OpenOffice, LibreOffice, Firefox, Thunderbird y algunos otros programas con interfaz gráfica, no afecta a Linux propiamente, refiriéndose rigurosamente al kernel, ni tampoco entendiéndolo extensivamente como el sistema operativo.

    Otra cosa es que un ataque que explote dicha vulnerabilidad pueda comprometer la seguridad del sistema.

  3.   Sergio dijo

    En Slackware estable (14.1) y current (14.2 beta 2) ya están disponibles los upgrades de seguridad, de modo que supongo que en otras distros también lo estarán:

    “mozilla-firefox-44.0.2-x86_64-1.txz: Upgraded.
    This release contains security fixes and improvements.
    For more information, see:
    http://www.mozilla.org/security/known-vulnerabilities/firefox.html

    Tomado de http://www.slackware.com/changelog/current.php?cpu=x86_64

  4.   Roger dijo

    En debian 8 aun no están disponibles las actualizaciones de seguridad en iceweasel, supongo que no tardaran mucho.

Escribe un comentario