• Tweet

La compañía fue informada, desde hace seis meses, de un error que puede conducir a la ejecución de código arbitrario; sin embargo afirman que no ha dado respuesta.

Opera Software publicó una actualización para su navegador de escritorio con el fin de hacer frente a una vulnerabilidad crítica en el manejo de gráficos vectoriales escalables, archivos (SVG), revelada hace una semana. La compañía rechazó negarse a parchar el fallo a inicios este año, cuando le notificaron.

El investigador de seguridad José A. Vázquez,  provocó controversia al comienzo de la semana pasada cuando dio a conocer una prueba de concepto de código de explotación de una vulnerabilidad no corregida en el Opera.

Díganlo, no la van a arreglar

Hacer públicos temas de seguridad sin notificar a los proveedores afectados por adelantado, es generalmente mal visto en la comunidad de seguridad, pero no es particularmente raro. Sin embargo, en este caso, el investigador afirma haber intentado actuar de manera responsable, sin éxito.

"En este post, voy hacer el lanzamiento de un tema que descubrí hace 362 días con el programa SSD (SecuriTeam Secure Disclosure) y que se informó a Opera, pero han decidido no arreglarlo", dijo Vázquez en su blog el 10 de octubre.

El problema proviene de un error en el código de manejo de SVG de Opera, que puede explotarse mediante la ejecución de código arbitrario para engañar a las víctimas al cargar imágenes de SVG diseñadas especialmente con fuentes deformadas.

Opera admite haber sido alertada sobre la falla de hace seis meses, como parte de un informe más amplio, pero, afirma que hasta el momento no ha podido reproducir el problema. De acuerdo con el proveedor, sus intentos de obtener más información por parte del investigador no han tenido éxito hasta el momento.

"En este caso, el fallo sólo ha sido confirmado para versiones anteriores de Opera, no en la actual. Entre lo que se informó en aquel entonces y la información recientemente publicada, hay detalles que no se incluyeron en el informe inicial, y que al parecer son relevantes para reproducir el problema", señaló el miércoles, Sigbjørn Vik, ingeniero de calidad de Opera.

Vulnerabilidad SVG es común

"Hoy, con nuestro lanzamiento de Opera 11.52, tenemos una solución para este problema, menos de una semana después de ser informados de los detalles relevantes. [...] Se recomienda que todos los usuarios de Opera descarguen e instalen esta nueva versión", dijo.

El manejo de vulnerabilidades SVG es común, y la mayoría de los fabricantes de navegadores se han ocupado de este tipo de problema en un momento dado. Esta clase de errores se detectan generalmente con la ayuda de programas automáticos llamados fuzzers, los cuales se alimentan de entradas incorrectas de los analizadores de SVG con la esperanza de provocar accidentes explotables.

En otros navegadores se han encontrado fallos relacionados. La última actualización de Google Chrome estable contenía un parche para una falla que involucra fuentes SVG, mientras que una vulnerabilidad crítica SVG fue parcheada en Firefox 6.

Además de abordar la vulnerabilidad de SVG, Opera 11.52 también contiene correcciones para los problemas que no son de seguridad, como descargas BitTorrent, videos HTML5 y errores en marcos de páginas con X-Options.