Yahoo omite la galería ImageMagick como medida de seguridad

 

Después de una cantidad de problemas repetitivos y tragedias de seguridad relacionadas con Yahoo, los usuarios todavía esperan mejoras futuras para reinventar esta utilidad o reemplazarla por alguna alternativa. Sí, las filtraciones que han ocurrido en el pasado dibujaron un aspecto negativo de Yahoo, y el fantasma de esos eventos le sigue.

Un investigador de seguridad llamado Chris Evans informó a Yahoo sobre una vulnerabilidad en su servicio que podría llevar a otra filtración de información. Evans no negó las similitudes de la situación presente a las que ocurrieron en el pasado y ahora son conocidas como Heartbleed y Cloudbleed.

Ambas palabras sugerían una referencia a bugs de seguridad que forzaban a los servidores a ejecutar el antiguo final de un buffer que lleva a contenido de un servidor de memoria privada que usan los clientes. La consecuencia de estos incidentes expuso cookies, tokens y otro tipo de información confidencial.

Para Yahoo, Evans inventó el término Yahoobleed. Se refiere a las vulnerabilidades que son similares a las detectadas en el pasado, pero con un giro nuevo. La galería ImageMagick fue determinada que contenía cero vulnerabilidades, que un día más tarde fue puesto en duda. En el caso de Yahoo, explicaron que trataron la amenaza de manera diferente porque decidieron ser más sigilosos para que los servidores no experimentasen ningún problema. Esto es porque la memoria sin usar se aprovecha para recuperar contenido de los usuarios. En resumen, esto incluye adjuntos que se suben a correos de email. Si se aprovecha, esta vulnerabilidad podría haber permitido a los hackers acceder a este material.

En su artículo, Evans trata sobre muchos detalles técnicos relacionados con Yahoobleed. Mientras estos conceptos podrían ser demasiado intensos para mucha gente que no estén particularmente formadas en este campo, las partes interesadas pueden leer a través de un análisis en profundidad en el informe privado de Chris. La galería ImageMagick es una galería popular a explotar, sin embargo, el investigador enfatiza en los peligros que surgen. Para su sorpresa, GraphicsMagick, es una galería muy similar, que contenía el mismo bug de seguridad en 2016. Sin embargo, el bug fue parcheado hace más de un año.

Yahoo jugó bien su papel y no perdió nada de tiempo mientras iba solucionando todos los asuntos relevantes. Chris Evans alabó a Yahoo por la buena colaboración y por mostrar una preocupación enorme por su servicio. Finalmente, Yahoo decidió retirar la galería ImageMagick y premiar el investigador de seguridad con un premio. Sin embargo, el dinero se dedicó a la caridad para mantener intacto el buen espíritu.

Es evidente que Yahoo espera redimirse después de toda la mala publicidad que ha recibido por las filtraciones de datos. Incluso aunque el límite de tiempo no fue establecido por Chris Evans, Yahoo se fijó resolver el bug de seguridad en 90 días: y lo hicieron. Mientras este servicio podría haber decidido no continuar usando ImageMagick, muchos otros aún podrían aprovechar esta galería. Por lo que, también se podrían detectar defectos similares en otras utilidades.

 
 
 
 

Deja un comentario