Publican antes de parchear: filtraron en la red un archivo con vulnerabilidades desconocidas en 7‑Zip y otros proyectos
Gesto anónimo de “buena voluntad” se convierte en un quebradero de cabeza para decenas de desarrolladores
Sobre las vulnerabilidades en el software se suele informar primero a los desarrolladores y darles tiempo para corregirlas, y los detalles se hacen públicos después. Sin embargo, en GitHub apareció un proyecto organizado al revés: el usuario con el seudónimo bikini creó el repositorio Exploitarium para publicar información sobre vulnerabilidades de día cero aún no corregidas en varios proyectos. Ninguna de las vulnerabilidades detectadas al momento de la publicación tenía asignado oficialmente un identificador CVE.
El autor del repositorio creó un archivo para atraer a más personas a la búsqueda de vulnerabilidades y consideró este método el más eficaz. Cualquiera que encuentre una vulnerabilidad puede notificarla tanto a bikini como al autor del proyecto afectado y recibir reconocimiento si la falla obtiene un número CVE oficial.
Entre los materiales del archivo destaca el caso con el compresor 7-Zip. Para la versión 7-Zip 26.01 en Windows, en el repositorio se describe una cadena de acciones con un archivo RAR5 que contiene las etiquetas MotW y ADS, marcas del sistema con las que Windows señala archivos potencialmente peligrosos descargados de internet.
Esta cadena muestra que a través de ese archivo se puede alcanzar el código interno del analizador del formato 7zip y, por tanto, es probable que exista un error en el parser. Poco después de la publicación de la vulnerabilidad, el desarrollador de 7-Zip Igor Pavlov publicó una corrección, en la que probablemente solucionó esta falla.
Además de 7-Zip, en el repositorio se describen decenas de vulnerabilidades y los usuarios de GitHub bombardearon al autor con pull requests con nueva información sobre las vulnerabilidades que conocían.
Al momento de la publicación de esta noticia, el repositorio Exploitarium en GitHub había sido bloqueado junto con la cuenta del propio bikini. No obstante, todavía se puede acceder a él a través de Web Archive.
Al parecer, el archivo público de vulnerabilidades sin procesar resultó ser un instrumento de doble filo. Sin duda acelera la salida de correcciones al empujar a los desarrolladores a actuar más rápido, pero al mismo tiempo proporciona a posibles atacantes una lista de objetivos que en la era de la IA no es difícil convertir en exploits para ataques. Si bikini regresará en otras condiciones o plataformas, lo dirá el tiempo.