Un error de implementación en el Stándard ASN.1

El analista de seguridad Lucas Molas, publica sus hallazgos bajo la vulnerabilidad CVE-2016-5080 en su página en Gitub dando a conocer que este error puede impactar en muchos modelos de teléfonos móviles modernos.

Este Stándard representa una notación formal que describe las reglas y estructuras necesarias para la representación, codificación y transmición de datos en dispositivos de telecomunicación y redes computarizadas. Este Stándard es usado por las grandes empresas de telecomunicación y muchos otros sistemas para realizar la comunicación Wireless GSM, UMTS y LTE así como SS7, WiMAX, SNMP, H.323 y X.509 entre otros.

Componentes de Software que generan, transmiten y usan datos codificados ASN.1 son también parte importante de muchos sistemas móviles que operan acualmente en el mercado.

La vulnerabilidad encontrada en las bibliotecas del Compilador ASN1C para C/C++ de Objective Systems (la empresa que ha implementado el Código en sí) puede llevar a un atacante a ejecutar codigo arbitrario en los sistemas afectados. La vulnerabilidad puede ser usada de manera remota y sin ningún tipo de autenticación. Por el tipo de fallo, el atacante tiene que tener acceso directo a la red móbil teniendo prácticamente una estación para enviar los datos a través de las antenas hacia los teléfonos móbiles.

Existen updates para muchos sistemas y se espera que muchos más implementen estos parches lo más pronto posible ver aqui

 

Autor del artículo: Carlos Medina

Déjanos tu comentario

Your email address will not be published.Email address is required.