Las revelaciones de vulnerabilidad de nuestro equipo 2021

22 de septiembre de 2022

En Faraday formamos parte de la comunidad de código abierto. Nuestro producto se basa en varios proyectos de código abierto y se publica bajo la Licencia Pública General GNU. Afortunadamente, estas prácticas son cada vez más habituales y, con ellas, el software de código abierto aumenta su presencia en centros de datos, dispositivos de consumo y aplicaciones.

Pero esto también puede tener sus inconvenientes, como ilustra este cómic de xkcd. En concreto, parte del software que utilizamos a diario no tiene la seguridad en mente. En muchos casos, estas herramientas empezaron como pequeños proyectos paralelos o experimentos de fin de semana, y sus creadores no previeron la popularidad que podrían alcanzar en el futuro. Independientemente de por qué ocurra esto, y tras reflexionar sobre ello, nuestro equipo de investigación inició una nueva búsqueda para encontrar y notificar vulnerabilidades en los proyectos de código abierto que utilizamos a diario.

Estas son las vulnerabilidades que hemos revelado durante 2021

- CVE-2021-4021: Consumo incontrolado de recursos a través de un binario ELF64 especialmente diseñado para la arquitectura MIPS en radare2.

- CVE-2021-4022: Segfault al analizar un ELF64 para arquitectura HPPA en rizin.

- CVE-2021-43814: Heap-based OOB write when parsing dwarf DIE info in Rizin.

- CVE-2021-4166: Lectura fuera de límites al cargar sesión en vim.

- CVE-2021-4192: Usar After Free al cargar sesión en vim.

- CVE-2021-4193: Lectura fuera de límites al cargar sesión en vim.

Seguir leyendo

Los últimos artículos del blog

Mira el webinar grabado de FaradAI y aprende cómo Faraday Security está evolucionando la seguridad ofensiva para la era de la IA a través de la clasificación de ataques impulsada por IA, la validación continua y la priorización de riesgos guiada por expertos.

6 de julio de 2026

Estamos orgullosos de compartir un hito importante en nuestro viaje: la obtención de la certificación ISO/IEC 27001:2022, el estándar reconocido internacionalmente para Sistemas de Gestión de Seguridad de la Información (SGSI).

19 de junio de 2026

La ingeniería inversa de procesadores no documentados tradicionalmente ha requerido meses de trabajo manual. En este artículo, los investigadores de Faraday comparten cómo un pipeline híbrido asistido por IA recuperó una arquitectura de conjunto de instrucciones propietaria, generó un

16 de junio de 2026

Manténgase informado, suscríbase a nuestro boletín

Introduzca su correo electrónico y no se pierda nunca las alertas y consejos de seguridad de los expertos de Faraday.

Faraday ayuda a grandes empresas, MSSPs y equipos de seguridad de aplicaciones a aprovechar mejor su ecosistema de seguridad, optimizando lo que ya utilizan.

Sede central

Laboratorio de investigación y desarrollo

Soluciones

Código abierto

2025 Faraday Security. Todos los derechos reservados.
Términos y condiciones | Política de privacidad