{"id":603634,"date":"2023-02-01T20:36:29","date_gmt":"2023-02-01T20:36:29","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-investigadores-descubren-nuevos-errores-en-la-popular-utilidad-de-procesamiento-de-imagenes-imagemagick\/"},"modified":"2023-02-01T20:36:30","modified_gmt":"2023-02-01T20:36:30","slug":"los-investigadores-descubren-nuevos-errores-en-la-popular-utilidad-de-procesamiento-de-imagenes-imagemagick","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-investigadores-descubren-nuevos-errores-en-la-popular-utilidad-de-procesamiento-de-imagenes-imagemagick\/","title":{"rendered":"Los investigadores descubren nuevos errores en la popular utilidad de procesamiento de im\u00e1genes ImageMagick"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">01 de febrero de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Vulnerabilidad<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Investigadores de ciberseguridad han revelado detalles de dos fallas de seguridad en el c\u00f3digo abierto <a rel=\"nofollow noopener\" href=\"https:\/\/imagemagick.org\/\" target=\"_blank\">Software ImageMagick<\/a> que podr\u00eda conducir potencialmente a una denegaci\u00f3n de servicio (DoS) y divulgaci\u00f3n de informaci\u00f3n.<\/p>\n<p>Los dos problemas, que fueron identificados por la firma latinoamericana de ciberseguridad Metabase Q en la versi\u00f3n 7.1.0-49, fueron <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/ImageMagick\/ImageMagick\/commit\/05673e63c919e61ffa1107804d1138c46547a475\" target=\"_blank\">dirigido<\/a> en ImageMagick <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/ImageMagick\/ImageMagick\/releases\/tag\/7.1.0-52\" target=\"_blank\">versi\u00f3n 7.1.0-52<\/a>lanzado en noviembre de 2022.<\/p>\n<p>Una breve descripci\u00f3n de las fallas es la siguiente:<\/p>\n<ul>\n<li><strong>CVE-2022-44267<\/strong> &#8211; Una vulnerabilidad DoS que surge al analizar una imagen PNG con un nombre de archivo que es un solo gui\u00f3n (&#8220;-&#8220;)<\/li>\n<li><strong>CVE-2022-44268<\/strong> &#8211; Una vulnerabilidad de divulgaci\u00f3n de informaci\u00f3n que podr\u00eda explotarse para leer archivos arbitrarios de un servidor al analizar una imagen<\/li>\n<\/ul>\n<p>Dicho esto, un atacante debe poder cargar una imagen maliciosa en un sitio web utilizando ImageMagick para convertir las fallas en armas de forma remota.  La imagen especialmente dise\u00f1ada, por su parte, se puede crear insertando un <a rel=\"nofollow noopener\" href=\"https:\/\/www.w3.org\/TR\/PNG-Chunks.html#:~:text=4.2.7.%20tEXt%20Textual%20data\" target=\"_blank\">fragmento de texto<\/a> que especifica algunos metadatos elegidos por el atacante (p. ej., &#8220;-&#8221; para el nombre del archivo).<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/02\/1675283789_441_Los-investigadores-descubren-nuevos-errores-en-la-popular-utilidad-de.png\" alt=\"Procesamiento de im\u00e1genes ImageMagick\" border=\"0\" data-original-height=\"247\" data-original-width=\"728\" title=\"Procesamiento de im\u00e1genes ImageMagick\"\/><\/div>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/02\/1675283789_179_Los-investigadores-descubren-nuevos-errores-en-la-popular-utilidad-de.png\" alt=\"Procesamiento de im\u00e1genes ImageMagick\" border=\"0\" data-original-height=\"261\" data-original-width=\"728\" title=\"Procesamiento de im\u00e1genes ImageMagick\"\/><\/div>\n<p>&#8220;Si el nombre de archivo especificado es &#8216;-&#8216; (un solo gui\u00f3n), ImageMagick intentar\u00e1 leer el contenido de la entrada est\u00e1ndar, lo que podr\u00eda dejar el proceso en espera para siempre&#8221;, dijeron los investigadores en un comunicado. <a rel=\"nofollow noopener\" href=\"https:\/\/www.metabaseq.com\/imagemagick-zero-days\/\" target=\"_blank\">informe<\/a> compartido con The Hacker News.<\/p>\n<p>De la misma manera, si el nombre del archivo se refiere a un archivo real ubicado en el servidor (p. ej., &#8220;\/etc\/passwd&#8221;), una operaci\u00f3n de procesamiento de im\u00e1genes realizada en la entrada podr\u00eda potencialmente incrustar el contenido del archivo remoto despu\u00e9s de que se complete.<\/p>\n<p>Esta no es la primera vez que se descubren vulnerabilidades de seguridad en ImageMagick.  En mayo de 2016, se revelaron m\u00faltiples fallas en el software, una de las cuales, denominada <a rel=\"nofollow noopener\" href=\"https:\/\/imagetragick.com\/\" target=\"_blank\">ImageTragick<\/a>podr\u00eda haberse abusado para obtener la ejecuci\u00f3n remota de c\u00f3digo al procesar im\u00e1genes enviadas por el usuario.<\/p>\n<p>A <a rel=\"nofollow noopener\" href=\"https:\/\/insert-script.blogspot.com\/2020\/11\/imagemagick-shell-injection-via-pdf.html\" target=\"_blank\">vulnerabilidad de inyecci\u00f3n de shell<\/a> se revel\u00f3 posteriormente en noviembre de 2020, en el que un atacante podr\u00eda insertar comandos arbitrarios al convertir archivos PDF cifrados en im\u00e1genes a trav\u00e9s del par\u00e1metro de l\u00ednea de comando &#8220;-authenticate&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/02\/researchers-uncover-new-bugs-in-popular.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80201 de febrero de 2023\ue804Ravie Lakshman\u00e1nVulnerabilidad Investigadores de ciberseguridad han revelado detalles de dos fallas de seguridad en<\/p>\n","protected":false},"author":1,"featured_media":603635,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,6073,1225,4662,143701,1462,12583,4668,4667,36,4654,4658,4659,4653,4655,2431,3243,16952,4663,4666,4665,42595,4660],"class_list":["post-603634","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-descubren","tag-errores","tag-filtracion-de-datos","tag-imagemagick","tag-imagenes","tag-investigadores","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevos","tag-popular","tag-procesamiento","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-utilidad","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/603634","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=603634"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/603634\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/603635"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=603634"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=603634"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=603634"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}