Redazione RHC : 8 septiembre 2025 17:22
El 20 de agosto, Apple lanzó una actualización de seguridad no programada para los principales sistemas operativos: iOS, iPadOS, macOS y otras plataformas. El parche soluciona la vulnerabilidad CVE-2025-43300 en el módulo ImageIO: un error de desbordamiento de búfer que se solucionó mediante una comprobación de límites más estricta durante el procesamiento de imágenes. La vulnerabilidad ha recibido cada vez más atención: se ha reportado como «explotada en ataques reales» y sin intervención del usuario.
Por otra parte, WhatsApp publicó una corrección que indica que los atacantes podrían forzar al dispositivo de la víctima a descargar un recurso desde una URL arbitraria y comenzar a procesarlo. Se cree que este problema forma parte de una cadena de exploits relacionada con CVE-2025-43300.
Los investigadores desmantelaron rápidamente el parche e identificaron su causa raíz. Según sus datos, el problema reside en el controlador de formato DNG, donde se detecta la compresión JPEG Lossless dentro del «negativo digital». El análisis de los archivos binarios reveló el punto de modificación en el componente RawCamera dentro de ImageIO. Las nuevas compilaciones ofrecen una comprobación adicional de desbordamiento al descomprimir líneas de imagen: Se han añadido comprobaciones para el tamaño del búfer asignado y la gestión de excepciones en caso de que la grabación exceda el área válida.
La esencia del error se debe a una lógica incorrecta al descomprimir fotogramas: el código se basaba en el número de «muestras por píxel» y esperaba al menos dos componentes, mientras que el número real de componentes en el flujo podría haber sido uno.
Debido a esta discrepancia, el bucle de descompresión sobrepasó el límite de memoria asignado y escribió datos que excedían los límites de memoria. En cuanto a los formatos, hablamos de DNG en representación TIFF con «cadenas» (tiras), donde se utilizan los campos RowsPerStrip, StripOffsets y StripByteCounts. Debido a que no se tuvieron en cuenta los componentes y tamaños de línea, el descompresor provocó un desbordamiento de búfer.
Los desarrolladores e ingenieros inversos han registrado una cantidad mínima de cambios entre versiones, como era de esperar para un parche no programado, pero resuelven el peligroso escenario de «cero clics». Según los investigadores, la cadena podría activarse simplemente al recibir imágenes a través de Messenger u otros canales donde el sistema las procesa automáticamente. Al mismo tiempo, los servicios individuales a lo largo de la ruta de distribución podrían modificar su calidad o metadatos, pero esto no es crítico para activar la vulnerabilidad.
La conclusión es predecible, pero importante: los analizadores de formatos multimedia son uno de los puntos más insidiosos de cualquier sistema. El error en el número de componentes y el tamaño del búfer parece obvio cuando se sabe dónde buscar, pero sin el parche era difícil de detectar: la función de desempaquetado es extensa, utiliza tablas de Huffman, lógica de ramificación y la infraestructura orientada a objetos de los frameworks de Apple. La solución es sencilla: gestión adicional del búfer y un fallo inicial al intentar sobrescribir la memoria.
Se recomienda a los usuarios instalar las últimas versiones de sus sistemas lo antes posible. Si bien la vulnerabilidad ya se ha corregido, casos como este nos recuerdan que cualquier análisis automatizado de contenido (imágenes, documentos o archivos) requiere rigurosos controles y protección a nivel de plataforma.
RedazioneEn un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
