Portada
Hace 2 años | Por me_joneo_pensan... a actualidad.rt.com
Publicado hace 2 años por me_joneo_pensando_en_ti a actualidad.rt.com
Identifican la primera vulnerabilidad informática que "afecta a casi todo"

Identifican la primera vulnerabilidad informática que "afecta a casi todo"

 actualidad.rt.com

El 'exploit', denominado por los descubridores Trojan Source, es especialmente peligroso para los proyectos abiertos dado que persiste a través del uso de la función de copiar y pegar y es invisible para el ojo humano. La debilidad involucra el estándar de codificación de texto digital Unicode y, más específicamente, su algoritmo Bidi, que maneja la visualización del texto con diferentes órdenes de escritura, como el árabe (que se lee de derecha a izquierda) y el inglés o el español (en la dirección inversa).

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 4k 50

Comentarios

mecha
editado

Aunque es bastante clickbait ese "afecta a casi todo", lo cierto es que el exploit si que es bastante interesante. Muy fácil de aplicar por casi cualquiera, es cuestión de tiempo que alguien lo ponga en práctica. Habrá que estar atentos a nuevas noticias sobre esto.

Eso si, requiere permisos de edición del código fuente antes de su compilación. Es decir, que afecta principalmente al código abierto (que te permitan tocar).

V 14
K 125
ed25519

#3 Estoy contigo, hay que espera a ver que sale nuevo, un poco sensacionalista con el "afecta a casi todo", un poco periodismo tipo Marca/As

V 1
K 16
guaperas

#7 #3 no espereis otra cosa de Rusia Today

V 1
K 14
J

#7 Sí, es como decir que apuntar a la cabeza de un programador con una pistola (o un fajo de billetes) para que ponga la vulnerabilidad que tu quieres es una vulnerabilidad que afecta a todo. Y realmente no diría que sea una vulnerabilidad propia de ese software, más bien un problema durante su desarrollo.

V 0
K 8
n

#3 que cachondo, no creo que sea cuestión de tiempo que alguien lo use, llevarán usándolo años y nos hemos enterado ahora

V 2
K 29
mecha

#17 Si, es probable. Pero ahora que le han dado publicidad pues empezará a usarse aún más.

V 2
K 20
D

¿Han descubierto la vulnerabilidad de la capa 8? wall

V 15
K 121
a

#1 ¿La capa 8? Ilústranos, por favor.

V 0
K 9
N

#36 El interfaz entre el teclado y la silla, fuente de la inmensa mayoría de problemas en Informática...

V 9
K 65
a

#39 #38 Ahhm, no tenía ni idea! Gracias!

V 0
K 9
eldarel

#38 lol lol lol

V 1
K 22
David_Mendo_Diaz

#38 PEBCAK. Problem exists between chair and keyboard

V 1
K 9
neo1999

#36 Se dice cuando la vulnerabilidad proviene del usuario, del factor humano.

V 3
K 39
EmuAGR

#36 Revisa ese modelo OSI.

V 3
K 28
albandy

Guardas en ascii y a tomar por culo

V 5
K 57
D

Todos a usar vi o mg en OpenBSD que no soportan Unicode .

O Xedit con iso-10646.

V 6
K 54
n

#5 Pues en lo poco que toco en Linux, lo hago en vi.

V 0
K 7
l

#9 O vim? El vim me pone abajo Utf-8. No hay ningun vi que este actualizado para unicode?

V 0
K 12
n

#27 utf8 es una codificación de unicode

V 1
K 16
D

#27 Nvi2.

V 1
K 22
Shotokax

#5 cuanto más simple más seguro.

V 3
K 35
albandy

Por lo que veo en los editores sale:

comment_34268576 media
V 4
K 49
Pointman

Por un momento pensé que se referían al usuario.

V 4
K 45
D

Hmmm... no acabo de verlo... ¿Esos códigos BIDI se los traga un compilador sin problemas?

V 2
K 33
eldarel

#4 Los yaml no creo que tiren. Como no son tiquismiquis...

V 4
K 29
musg0

Conque los revisores usen un editor que muestre esos caracteres con algún código ya está solucionado, no? Los tabuladores también son "invisibles", pero en vim y otros editores puedes hacer que se pinten para diferenciarlos de los espacios

V 3
K 32
Aitor

#6 En vim y otros editores no, en prácticamente cualquier editor.

En cualquier editor orientado a uso técnico desde luego, pero vamos que en el Word de Office o el Writer de LibreOffice también. lol

V 2
K 34
musg0

#8 Era un ejemplo, y como suelo usar Vim es lo que me ha salido. Tampoco vamos a hacer una guerra santa por el editor que use cada uno, y si tiene una características más o menos que otros

V 0
K 6
l

#10 vim vs emacs es la gerra santa. Es peor que concebollistas vs sincebollistas

V 0
K 11
musg0

#45 Creo que con las nuevas generaciones ha perdido bastante. Hay tantos IDEs y editores diferentes que está todo muy atomizado

V 0
K 6
BiRDo

No la voto como sensacionalista, porque a alguien le parecerá relevante y es conocimiento nuevo seguramente para alguna gente, pero pensar que esto es una vulnerabilidad "para casi todo" es ridículo porque:
1. Los repositorios de código que no tengan ya advertencias sobre el uso malintencionado de caracteres relacionados con el cambio en la dirección de escritura pueden incorporarlos sin problema alguno,
2. Los compiladores y editores, comerciales y/o libres, también y

Vamos, que esto se puede acabar casi antes de empezar.

V 2
K 27
geburah

Voto sensacionalista. Es una exageración enorme.

V 2
K 24
grodriguezgonzalez

El de la imagen no sabe de la existencia de switch?

V 1
K 17
DraWatson

#16 o el or... Que hace lo mismo en todas las llamadas

V 0
K 7
CalifaRojo

#19 no, en la primera hace add, en la segunda remove y en la tercera remove y más cosas.

V 0
K 9
DraWatson

#20 Tienes razón, antes desde el móvil no lo vi bien:

Creo que el código sale de:
https://time2hack.com/simple-tutorial-for-drag-and-drop-in-html5-with-javascript/

Aunque no descarto que podría ser un plagio del libro: https://www.amazon.es/HTML5-Action-Rob-Crowther/dp/1617290491/

V 0
K 7
cosmonauta
editado

#16 Hay excéntricos que no lo usan. Leyeron en un libro de OOP que era malo, pero no entendieron por qué.

V 1
K 20
Karmarada

La típica vulnerabilidad AACT de toda la vida

V 1
K 12
KirO

A ver, es más sofisticado de lo públicamente conocido hasta ahora, pero siempre se ha sabido que hacer copy-paste de código es un tanto peligroso.

La solución pasa porque los IDE y los compiladores detecten estos caracteres y deban autorizarse expresamente.

V 0
K 10
Candidatas
20
meneos
tecnología El porno llega a ChatGPT y DALL-E
14
meneos
tecnología Samsung creará SSD con memorias NAND Flash de 1.000 capas
13
meneos
tecnología Google borra accidentalmente la cuenta del fondo de pensiones australiano UniSuper de 125 mil millones de dólares
12
meneos
tecnología Historia del emoji: los años perdidos (ENG)
10
meneos
tecnología Ilya Sutskever, cofundador de OpenAI, renuncia un día después del lanzamiento de GPT-4o
19
meneos
tecnología Identifican una técnica que reenvía tráfico fuera de una VPN y permite espiarlo
26
meneos
tecnología OpenAI presenta GPT-4o, su nuevo modelo de lenguaje: es más rápido y soporta, texto, video y audio
9
meneos
tecnología IA: el nuevo colonialismo - Carne Cruda
8
meneos
tecnología Oasis - Ride It Out (Nueva canción por inteligencia artificial)
7
meneos
tecnología Playstation 2
13
meneos
tecnología España invertirá 90 millones de euros en duplicar la capacidad de su supercomputador
7
meneos
tecnología Wire, Proton y Apple ayudan a identificar a sospechoso en España
7
meneos
tecnología La empresa española que recicla baterías de vehículos eléctricos y las vende mucho más baratas
31
meneos
tecnología La filtración de datos de una empresa de reconocimiento facial revela un peligro oculto de la biometría
29
meneos
tecnología Stack Overflow banea a los usuarios en masa por rebelarse contra su asociación con OpenAI: los usuarios eliminan las respuestas para evitar que se utilicen para entrenar a ChatGPT [ENG]
8
meneos
tecnología Los fallos de la IA: de algoritmos sesgados a decisiones trágicas
5
meneos
tecnología Elon Musk prefiere Supercargadores a trabajadores
10
meneos
tecnología AI reimagina "Los Simpson" como una sitcom de los años 50 rodada con una cámara Super Panavision 70 (ENG)
8
meneos
tecnología La isometría de Mega Drive
11
meneos
tecnología El buscador de OpenAI con ChatGPT llega el próximo lunes, según Reuters. Justo un día antes del gran evento de Google
mudit0

Es como a mi gato, que me molesta casi todo. Pues lo mismo, pero en vulnerabilidad.

V 0
K 10
traviesvs_maximvs

¿Se refieren al usuario final?

V 0
K 10
Jesulisto

Mientras que no afecte al RM/COBOL 86, yo tranquilo lol lol

V 0
K 10
anv

#18 También afecta. Pero no es nada de lo que uno imagina al leer el título.

Sencillamente es una manera de meter cosas en el código fuente sin que se vean fácilmente.

Dale unos días a los desarrolladores de editores para programación y estará solucionado... A no ser que uses Visual Studio Code, en cuyo caso dependerá de si Microsoft piensa que es rentable dedicar recursos a ese cambio.

V 1
K 10
r

¡Y es por eso por lo que el código de stackoverflow nunca funciona!

V 0
K 9
cosmonauta

#32 ¿Copias el código de las preguntas o de las respuestas?

V 2
K 22
kevers

Han dado con el ping de la muerte.

V 0
K 8
socialista_comunista

Sería gracioso encontrar super gurús que tengan estos "premios" en sus ficheros.

V 0
K 7
c

Pero es que no editais en HEX? Imprudentes!

V 0
K 7
d

yo he probado el ejemplo que tienen para pyhon y da error al ejecutarlo..
ademas tanto en neovim como en visual studio code salen errores en los carácteres especiales si usas un analizador de python, que es lo normal para desarrollar

V 0
K 6
D
editado

Lo que se describe no es una vulnerabilidad. Mas bien, lo que se describe es una nueva por la que explorar vulnerabilidades. Esta basicamente basado en esto, entiendo: https://www.umpox.com/zero-width-detection/

Ya se conoce desde varios años. Vamos, que lo suyo seria establecer un entandar adonde un carácter significa una letra mostrada, adonde no sea fácil despistar al usuario con otros caracteres parecidos. Básicamente, un estandar adonde solo se pudiese mostrar o copiar un subconjunto de los caracteres Unicode y que te avisase de la presencia de caracteres de control si los hay presente en las operaciones adonde sea fácil esconder esta información.

Si no, pues es que uno se lo va acabar tragando. Es ya un tema conocido, y parece que no funciona con Meneame: https://330k.github.io/misc_tools/unicode_steganography.html

V 0
K 6