Blackmagic corrige fallas críticas en la ejecución del código de DaVinci Resolve

Blackmagic Software solucionó recientemente dos vulnerabilidades de seguridad en el popular software DaVinci Resolve que permitiría a los atacantes obtener la ejecución de código en sistemas sin parches.

DaVinci Resolve es una plataforma de software gratuito que combina la edición de video y la corrección de color, efectos visuales, gráficos en movimiento y herramientas de posproducción de audio en una sola solución.

Como afirma su desarrollador Blackmagic, DaVinci Resolve es "la solución de edición más popular de Hollywood" para Mac, Windows y Linux.

Índice de contenidos
  1. Defectos críticos en la ejecución remota de código
  2. Parches disponibles

Defectos críticos en la ejecución remota de código

Las dos fallas de seguridad de ejecución remota de código (RCE), rastreadas como CVE-2021-40417 y CVE-2021-40418, fueron descubiertas por investigadores de seguridad de Cisco Talos y están calificadas con una puntuación de gravedad CVSSv3 de 9, 8/10.

Ambos son causados ​​por debilidades encontradas en el servicio DPDecoder de DaVinci Resolve y se activan por un desbordamiento de búfer basado en el montón al decodificar un archivo de video o un UUID incorrecto al analizar archivos de video.

"[CVE-2021-40417] es una vulnerabilidad de desbordamiento de búfer basada en montones que ocurre cuando la aplicación enfrenta una condición de desbordamiento de enteros que conduce a una extensión de signo al intentar decodificar un archivo de video ”, explicó Cisco Talos.

"Alternativamente, [CVE-2021-40418] también podría conducir a la ejecución de código, pero en su lugar se activa como resultado de un miembro de objeto no inicializado debido a un UUID incorrecto ".

Los actores de amenazas remotos pueden aprovechar los errores en ataques de baja complejidad, con una explotación exitosa que no requiere autenticación o interacción del usuario.

Parches disponibles

Cisco Talos descubrió las dos vulnerabilidades de ejecución de código al analizar DaVinci Resolve, versión 17.3.1.0005.

Desde entonces, Blackmagic ha solucionado errores y se recomienda a los usuarios que actualicen a DaVinci Resolve 17.4.3, la última versión lanzada para su plataforma, lo antes posible.

"Cisco Talos ha trabajado con Blackmagic para garantizar que estos problemas se resuelvan y que haya una actualización disponible para los clientes afectados", dijo el equipo de Cisco Talos.

Puede encontrar información detallada sobre cómo instalar el software DaVinci Resolve en su dispositivo en el registro de cambios de DaVinci Resolve 17.4.3, lanzado a principios de esta semana.

Descubre más contenido

Subir Change privacy settings