Noticias
Un error de seguridad en Python sigue dando problemas desde hace 15 años
Python lleva años siendo un lenguaje de programación muy utilizado para el desarrollo de videojuegos y web, aprendizaje automático, ciencia de datos y más. Sin embargo, 16 años después de que se hubiera implementado por primera vez, se descubrió un error de seguridad que todavía continúa vigente en la actualidad. Una vulnerabilidad que expone a varios proyectos que podrían ser víctimas de ciberataques.
¿Por qué lleva tantos años este error de seguridad sin ser resuelto? Tal vez, porque al principio se le restó importancia. En su momento, se consideró que no suponía un riesgo mayor al que cualquier proyecto de código abierto puede estar expuesto cuando emplea este tipo de recursos. Sin embargo, esta vulnerabilidad está, de nuevo, en el punto de mira porque Python abre una ventana a posibles ataques.
La vulnerabilidad apareció en el archivo TAR
En el momento en el que se descubrió el error de seguridad de Python en 2007, los expertos se dieron cuenta de dónde se encontraba. Estaba en el archivo TAR. Cuando un usuario usa el módulo tarlife en el directorio CVE-2007-4559, que permite escribir y leer este tipo de archivos, y usa las funciones de “extraer” un ciberdelincuente puede comenzar a sobreescribir archivos y terminar destruyendo cualquier proyecto.
Pero, aunque en el momento de aparecer este error de seguridad de Python no se le dio la importancia que tenía, ahora se sabe que más del 50 % de los proyectos están expuestos a posibles ataques que pueden echar por tierra todo el trabajo realizado durante meses. La desconfianza sigue incrementándose y, por eso, conviene resolver esta vulnerabilidad en el archivo TAR. No puede seguir estando durante más años.
Una crítica que han lanzado desde el departamento que ha estado llevando a cabo esta investigación, Trellix, ha sido que parece que nadie se preocupa por el buen uso de Python. Al parecer, los tutoriales que permiten a los usuarios sacarle el máximo partido a este lenguaje de programación no son los adecuados y hay varios errores que deberían subsanarse para que se puedan tomar medidas de protección correctas.
Cualquier información relativa a cómo protegerse de los ciberdelincuentes que, cada vez, tienen más recursos a su disposición para traspasar las barreras de seguridad es vital. Pero, si hay un error que les abre las puertas para que puedan robar información y echar por tierra proyectos que suponen un trabajo de meses, los consejos sobre cómo defenderse ante esta vulnerabilidad son, aún, más importantes.
¿Qué se está haciendo para subsanar el error de seguridad?
En la actualidad, es el departamento de Trellix el que no solo ha vuelto a conseguir que el error de seguridad de Python vuelva a ser noticia, sino que está poniendo en marcha una serie de acciones para intentar resolverlo. El primer objetivo que tiene es proteger los proyectos de código abierto de CVE-2007-4559, el directorio donde la vulnerabilidad de los archivos TAR ha sido descubierta y confirmada.
La segunda meta es ofrecerles a los desarrolladores una herramienta completamente gratuita que estará a su disposición para que puedan realizar las comprobaciones oportunas para saber si sus proyectos están en riesgo. Esto les resultará muy útil para poder medir las amenazas y adoptar medidas para ponerlos a salvo. De esta manera, se evitarán sorpresas indeseadas y la pérdida de todo su trabajo.
Todavía queda mucho que hacer, aunque sorprende que un error de seguridad lleve tantos años vigente y que nadie, hasta este momento, se haya movilizado para resolverlo. Afortunadamente, parece que la vulnerabilidad de Python ya tiene los días contados y esperamos que pronto deje de suponer una amenaza.
-
OpiniónHace 6 días
10 predicciones para los proveedores de servicios gestionados en 2025
-
NoticiasHace 2 días
El Capitan es el nuevo superordenador más potente y rápido del mundo
-
NoticiasHace 6 días
La Comisión Europea multa a Meta con 798 millones por perjudicar a la competencia de Marketplace
-
NoticiasHace 6 días
AMD despedirá al 4% de su plantilla mientras se centra en IA y centros de datos