• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Una nueva técnica permite a los hackers ocultar vulnerabilidades en el código fuente

Una nueva técnica permite a los hackers ocultar vulnerabilidades en el código fuente

15 noviembre, 2021 Por Ignacio Navas Deja un comentario

Dos nuevas vulnerabilidades podrían ser aprovechadas por un atacante para inyectar malware visualmente engañoso, de una manera que es semánticamente permisible, pero altera la lógica definida por el código fuente.

«Esta técnica, denominada «Trojan Source attacks«, produce un código fuente cuyos tokens se codifican lógicamente en un orden diferente al que se muestran, lo que da lugar a vulnerabilidades que no pueden ser percibidas directamente por el ojo humano», afirman los investigadores de la Universidad de Cambridge, Nicholas Boucher y Ross Anderson, en un artículo recién publicado.

Las vulnerabilidades denominadas como CVE-2021-42574 y CVE-2021-42694 afectan a los compiladores de todos los lenguajes de programación populares, como C, C++, C#, JavaScript, Java, Rust, Go y Python.

El ataque funciona apuntando a la codificación de los archivos de código fuente para crear vulnerabilidades específicas, en lugar de introducir deliberadamente errores lógicos, para reordenar visualmente los tokens en el código fuente que, aunque se presenta de una manera perfectamente aceptable, engaña al compilador para que procese el código de una manera diferente y cambie drásticamente el flujo del programa, por ejemplo, haciendo que un comentario aparezca como si fuera código.

Los investigadores calcularon que, si el cambio en la lógica es lo suficientemente sutil como para pasar desapercibido en las pruebas posteriores, un adversario podría introducir vulnerabilidades específicas sin ser detectado.

Más información:

https://thehackernews.com/2021/11/new-trojan-source-technique-lets.html

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: General

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Routers de diversos fabricantes objetivos del nuevo malware ZuoRAT
  • Microsoft anuncia que ya ha solucionado los problemas con RRAS en Windows Server para todos los usuarios
  • Las apps de mensajería y videoconferencia te escuchan incluso cuando estás "muteado"
  • Tencent admite un ataque de código QR en su plataforma de chat QQ.com
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.

Entradas recientes

  • Routers de diversos fabricantes objetivos del nuevo malware ZuoRAT
  • Microsoft anuncia que ya ha solucionado los problemas con RRAS en Windows Server para todos los usuarios
  • Tencent admite un ataque de código QR en su plataforma de chat QQ.com
  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Routers de diversos fabricantes objetivos del nuevo malware ZuoRAT
  • Microsoft anuncia que ya ha solucionado los problemas con RRAS en Windows Server para todos los usuarios
  • Tencent admite un ataque de código QR en su plataforma de chat QQ.com
  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...