(https://i.imgur.com/9cgHYDi.jpg)
Blackmagic Software ha abordado recientemente dos vulnerabilidades de seguridad en el muy popular software DaVinci Resolve que permitiría a los atacantes obtener la ejecución de código en sistemas sin parches.
DaVinci Resolve es una plataforma de software gratuito que combina la edición de video y la corrección de color, efectos visuales, gráficos en movimiento y herramientas de posproducción de audio en una sola solución.
Como afirma su desarrollador Blackmagic, DaVinci Resolve es "la solución de edición más popular de Hollywood" para Mac, Windows y Linux.
Defectos críticos de ejecución de código remotoLas dos fallas de seguridad de ejecución remota de código (RCE), rastreadas como CVE-2021-40417 y CVE-2021-40418 , fueron descubiertas por investigadores de seguridad de Cisco Talos y están calificadas con una puntuación de gravedad CVSSv3 de 9.8 / 10 .
Ambos son causados por debilidades encontradas en el servicio DPDecoder de DaVinci Resolve y se activan por un desbordamiento de búfer basado en el montón al decodificar un archivo de video o un UUID incorrecto al analizar archivos de video.
"[CVE-2021-40417] es una vulnerabilidad de desbordamiento de búfer basada en el montón que ocurre cuando la aplicación enfrenta una condición de desbordamiento de enteros que conduce a una extensión de signo al intentar decodificar un archivo de video", explicó Cisco Talos .
"Alternativamente, [CVE-2021-40418] también podría conducir a la ejecución de código, pero en su lugar se activa como resultado de un miembro de objeto no inicializado como resultado de un UUID incorrecto".
Los actores de amenazas remotos pueden explotar los errores en ataques de baja complejidad, y la explotación exitosa no requiere autenticación o interacción del usuario.
Parches disponiblesCisco Talos descubrió las dos vulnerabilidades de ejecución de código al analizar DaVinci Resolve, versión 17.3.1.0005.
Desde entonces, Blackmagic ha corregido ambos errores, y se recomienda a los usuarios que actualicen a DaVinci Resolve 17.4.3, la última versión lanzada para su plataforma, lo antes posible.
"Cisco Talos trabajó con Blackmagic para garantizar que estos problemas se resuelvan y que haya una actualización disponible para los clientes afectados", dijo el equipo de Cisco Talos.
Fuente: https://www.bleepingcomputer.com