0:00
recientemente se descubrió un fallo de
0:01
seguridad principalmente en dispositivos
0:03
Android el cual podrá permitir la
0:04
ejecución remota de comandos por parte
0:06
de un ciberdelincuente así que vamos a
0:09
comentarlo muy bien como tal hablamos de
0:11
la vulnerabilidad identificada con el CB
0:14
2025 27363 que concretamente esta Google
0:17
lanzó ya en una actualización abordando
0:19
todos los fallos de seguridad que
0:20
concretamente son 46 para llevar y todo
0:23
dentro de las cuales se incluye la
0:24
vulnerabilidad identificada con el CB
0:26
que te dije antes pero bueno ¿de qué se
0:28
trata esta vulnerabilidad fíjate esto
0:30
afecta principalmente a la biblioteca de
0:31
código abierto free type y tú dirás
0:33
"¿Esto qué es?" Déjame explicarte güey
0:35
primero esta como tal es utilizada para
0:36
renderizar la fuentes en Android pero
0:38
como tal si se trata de un error de
0:39
escritura fuera de los límites como la
0:41
mayoría de veces en Android pero la cosa
0:43
que está es que esta biblioteca se puede
0:44
usar fuera de estos límites y permitiría
0:46
su explotación al procesar ficheros de
0:47
fuentes Type GX y variables y por
0:50
consecuencia lógicamente un
0:51
ciberdelincuente podría aprovecharse de
0:53
esto para ejecutar código arbitrario y
0:54
en este caso sin necesidad de
0:55
interacción con el usuario y sin ningún
0:57
tipo de privilegio adicional básicamente
0:59
un cer Day pero de los buenos y como tal
1:01
esta vulnerabilidad la descubrió
1:02
Facebook sí Facebook en marzo de 2025 o
1:05
sea hace dos meses y el parche fue
1:06
lanzado por Google pero esto fue hace
1:08
unos pocos días por lo que hice hubo un
1:09
intervalo de 2 meses donde bueno
1:11
esperemos que hayas rezado y lo que
1:12
suena de fondo no te asustes pero bueno
1:14
¿a quién afecta este fallo pues
1:15
principalmente dispositivos Android que
1:17
utilicen versiones de free type
1:18
anteriores a la 2130 y tú dirás ¿quién
1:20
usa Free Type pues te sorprendería dirá
1:22
que la mayoría de dispositivos Android
1:24
lo tiene pero bueno pongamos un ejemplo
1:25
del ataque para que puedas entenderlo
1:27
mejor digamos con ciberdelincuente crea
1:28
un fichero de fuente malicioso y
1:30
evidentemente cuando hablamos de fuente
1:31
en este contexto nos referimos a la
1:33
tipografía pero bueno sigamos el
1:34
ciberdelincuente crea este fichero
1:35
malicioso y empieza a distribuirlo por
1:37
ejemplo a través de una aplicación o por
1:38
ejemplo a través de un sitio web que fue
1:39
previamente comprompetido y al como tal
1:41
tú acceder a este fichero tu dispositivo
1:43
renderice esta fuente lo cual gracias a
1:45
esta vulnerabilidad en Fre Type puede
1:46
pasar lo que comentamos antes provocando
1:48
que en uno de sus escenarios pueda haber
1:49
ejecución remota de comandos que ten en
1:51
cuenta eso es solamente un escenario al
1:53
final pueden haber muchas variantes pero
1:54
bueno ¿cómo protegerse ante esto ¿qué es
1:56
lo importante lo único que tienes que
1:57
hacer es instalar la actualización que
1:58
lanzó Google te digo si usas
1:59
dispositivos Pixel suelen recibir estas
2:01
actualizaciones más rápido mientras que
2:02
nuestros fabricantes pues suelen tardar
2:04
un poco más en distribuirlas y
2:05
evidentemente si tu Android tiene una
2:06
roomizada que no le da soporte pues eh
2:09
en fin así que tú ve y actualiza
