El ‘exploit’, denominado por los descubridores Trojan Source, es especialmente peligroso para los proyectos abiertos dado que persiste a trav\u00e9s del uso de la funci\u00f3n de copiar y pegar y es invisible para el ojo humano.<\/p>\n\n\n\n
Un equipo de cient\u00edficos de la Universidad de Cambridge descubri\u00f3 una vulnerabilidad que amenaza a pr\u00e1cticamente cualquier ‘software’, as\u00ed lo advierten en un art\u00edculo publicado este domingo en el que muestran los resultados de su an\u00e1lisis. Paralelamente, los divulgaron en el repositorio Github.<\/p>\n\n\n\n
Pr\u00e1cticamente todos los compiladores (programas que ‘traducen’ el c\u00f3digo legible para los humanos en un formato comprensible para la computadora) son vulnerables a un ataque en el que se pueden introducir vulnerabilidades espec\u00edficas en cualquier software sin ser detectado.<\/p>\n\n\n\n
La debilidad involucra el est\u00e1ndar de codificaci\u00f3n de texto digital Unicode<\/strong> y, m\u00e1s espec\u00edficamente, su algoritmo Bidi<\/strong>, que maneja la visualizaci\u00f3n del texto con diferentes \u00f3rdenes de escritura, como el \u00e1rabe (que se lee de derecha a izquierda) y el ingl\u00e9s o el espa\u00f1ol (en la direcci\u00f3n inversa).<\/p>\n\n\n\n \u00abEn algunos escenarios, el orden predeterminado establecido por el algoritmo Bidi puede no ser suficiente; para estos casos, se prev\u00e9n los caracteres de control de anulaci\u00f3n<\/strong>\u00ab, indican los cient\u00edficos. Se\u00f1alan que estos caracteres, que son invisibles, pueden insertarse muchas veces, permitiendo \u00abreordenar las cadenas de manera casi arbitraria\u00bb.<\/p>\n\n\n\n \u00abEsto da a un adversario un control detallado<\/strong>, por lo que puede manipular el orden de visualizaci\u00f3n del texto [convirti\u00e9ndolo] en un anagrama de su orden l\u00f3gicamente codificado\u00bb, advierten los analistas.<\/p>\n\n\n\n Como resultado, el c\u00f3digo manipulado puede verse normal para los humanos y, al mismo tiempo, ejecutarse de manera no esperada por los compiladores. Adem\u00e1s, no se detectar\u00eda durante la revisi\u00f3n de la sintaxis de la programaci\u00f3n en la mayor\u00eda de los idiomas.<\/p>\n\n\n\n \u00abNuestra idea clave es que podemos reordenar los caracteres del c\u00f3digo fuente de manera que el orden de visualizaci\u00f3n resultante tambi\u00e9n represente un c\u00f3digo fuente sint\u00e1cticamente v\u00e1lido<\/strong>\u00ab, indican los expertos.<\/p>\n\n\n\n De momento, la vulnerabilidad \u2014denominada por los descubridores Trojan Source<\/strong>\u2014 ha sido confirmada en las programaciones asociadas con los lenguajes C#, C++, C, Go, Java, JavaScriipt, Python y Rust<\/strong>.<\/p>\n\n\n\n Dado que los caracteres de anulaci\u00f3n de Bidi persisten a trav\u00e9s de las funciones de copiar y pegar<\/strong> en la mayor\u00eda de los navegadores, editores y sistemas operativos modernos,\u00a0es posible una\u00a0proliferaci\u00f3n incontrolada del ‘exploit’, dijo Ross Anderson, uno de los autores del estudio, al portal Krebs On Security.<\/p>\n\n\n\n \u00abCualquier desarrollador que copie c\u00f3digo de una fuente que no sea de confianza en una base de c\u00f3digo protegida puede introducir inadvertidamente una vulnerabilidad invisible\u00bb, resalt\u00f3 el experto.<\/p>\n\n\n\n \u00abEsas son malas noticias para proyectos como Linux y Webkit<\/strong> que aceptan contribuciones de personas al azar, las someten a revisi\u00f3n manual y luego las incorporan al c\u00f3digo cr\u00edtico.\u00a0Esta vulnerabilidad es, hasta donde yo s\u00e9, la primera que afecta a casi todo\u00bb, se\u00f1al\u00f3 Anderson.<\/p>\n\n\n\n RT<\/p>\n\n\n\n <\/p>\n","protected":false},"excerpt":{"rendered":" El ‘exploit’, denominado por los descubridores Trojan Source, es especialmente peligroso para los proyectos abiertos dado que persiste a trav\u00e9s del uso de la funci\u00f3n de copiar y pegar y es invisible para el ojo humano. Un equipo de cient\u00edficos de la Universidad de Cambridge descubri\u00f3 una vulnerabilidad que amenaza a pr\u00e1cticamente cualquier ‘software’, as\u00ed […]<\/p>\n","protected":false},"author":1,"featured_media":42891,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"rop_custom_images_group":[],"rop_custom_messages_group":[],"rop_publish_now":"initial","rop_publish_now_accounts":[],"rop_publish_now_history":[],"rop_publish_now_status":"pending","footnotes":""},"categories":[68],"tags":[],"class_list":["post-42890","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciencia-tec"],"_links":{"self":[{"href":"https:\/\/notiissa.mx\/index.php?rest_route=\/wp\/v2\/posts\/42890","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/notiissa.mx\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/notiissa.mx\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/notiissa.mx\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/notiissa.mx\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=42890"}],"version-history":[{"count":1,"href":"https:\/\/notiissa.mx\/index.php?rest_route=\/wp\/v2\/posts\/42890\/revisions"}],"predecessor-version":[{"id":42892,"href":"https:\/\/notiissa.mx\/index.php?rest_route=\/wp\/v2\/posts\/42890\/revisions\/42892"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/notiissa.mx\/index.php?rest_route=\/wp\/v2\/media\/42891"}],"wp:attachment":[{"href":"https:\/\/notiissa.mx\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=42890"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/notiissa.mx\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=42890"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/notiissa.mx\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=42890"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\u00abLa primera vulnerabilidad que afecta a casi todo\u00bb<\/h3>\n\n\n\n