Noticias
Un error de seguridad en Python sigue dando problemas desde hace 15 años
Python lleva años siendo un lenguaje de programación muy utilizado para el desarrollo de videojuegos y web, aprendizaje automático, ciencia de datos y más. Sin embargo, 16 años después de que se hubiera implementado por primera vez, se descubrió un error de seguridad que todavía continúa vigente en la actualidad. Una vulnerabilidad que expone a varios proyectos que podrían ser víctimas de ciberataques.
¿Por qué lleva tantos años este error de seguridad sin ser resuelto? Tal vez, porque al principio se le restó importancia. En su momento, se consideró que no suponía un riesgo mayor al que cualquier proyecto de código abierto puede estar expuesto cuando emplea este tipo de recursos. Sin embargo, esta vulnerabilidad está, de nuevo, en el punto de mira porque Python abre una ventana a posibles ataques.
La vulnerabilidad apareció en el archivo TAR
En el momento en el que se descubrió el error de seguridad de Python en 2007, los expertos se dieron cuenta de dónde se encontraba. Estaba en el archivo TAR. Cuando un usuario usa el módulo tarlife en el directorio CVE-2007-4559, que permite escribir y leer este tipo de archivos, y usa las funciones de “extraer” un ciberdelincuente puede comenzar a sobreescribir archivos y terminar destruyendo cualquier proyecto.
Pero, aunque en el momento de aparecer este error de seguridad de Python no se le dio la importancia que tenía, ahora se sabe que más del 50 % de los proyectos están expuestos a posibles ataques que pueden echar por tierra todo el trabajo realizado durante meses. La desconfianza sigue incrementándose y, por eso, conviene resolver esta vulnerabilidad en el archivo TAR. No puede seguir estando durante más años.
Una crítica que han lanzado desde el departamento que ha estado llevando a cabo esta investigación, Trellix, ha sido que parece que nadie se preocupa por el buen uso de Python. Al parecer, los tutoriales que permiten a los usuarios sacarle el máximo partido a este lenguaje de programación no son los adecuados y hay varios errores que deberían subsanarse para que se puedan tomar medidas de protección correctas.
Cualquier información relativa a cómo protegerse de los ciberdelincuentes que, cada vez, tienen más recursos a su disposición para traspasar las barreras de seguridad es vital. Pero, si hay un error que les abre las puertas para que puedan robar información y echar por tierra proyectos que suponen un trabajo de meses, los consejos sobre cómo defenderse ante esta vulnerabilidad son, aún, más importantes.
¿Qué se está haciendo para subsanar el error de seguridad?
En la actualidad, es el departamento de Trellix el que no solo ha vuelto a conseguir que el error de seguridad de Python vuelva a ser noticia, sino que está poniendo en marcha una serie de acciones para intentar resolverlo. El primer objetivo que tiene es proteger los proyectos de código abierto de CVE-2007-4559, el directorio donde la vulnerabilidad de los archivos TAR ha sido descubierta y confirmada.
La segunda meta es ofrecerles a los desarrolladores una herramienta completamente gratuita que estará a su disposición para que puedan realizar las comprobaciones oportunas para saber si sus proyectos están en riesgo. Esto les resultará muy útil para poder medir las amenazas y adoptar medidas para ponerlos a salvo. De esta manera, se evitarán sorpresas indeseadas y la pérdida de todo su trabajo.
Todavía queda mucho que hacer, aunque sorprende que un error de seguridad lleve tantos años vigente y que nadie, hasta este momento, se haya movilizado para resolverlo. Afortunadamente, parece que la vulnerabilidad de Python ya tiene los días contados y esperamos que pronto deje de suponer una amenaza.
Ferrovial se alía con DXC Technology y Microsoft para adoptar la IA generativa en todas sus áreas de negocio
AWS quiere alojar los modelos personalizados de IA de las empresas
El Gobierno de Francia hace una oferta por varias partes de Atos
Thoma Bravo se queda con la compañía británica de ciberseguridad Darktrace
La valoración de Google ya supera el PIB de España
Snowflake anuncia Arctic, su propio modelo grande de lenguaje para empresas
Menos visibilidad, falta de control o soporte técnico limitado: cómo superan las empresas estos desafíos del teletrabajo
Salesforce amplía el despliegue de IA con la llegada de Einstein Copilot a Tableau
Amazon invierte 2.750 millones más en Anthropic
«Es más importante regular casos de uso que modelos de IA»
Microsoft añade varias herramientas de seguridad y protección a Azure AI Studio
«Nuestra meta es que la IA sea una parte integral del trabajo de nuestros clientes»
Ferrovial se alía con DXC Technology y Microsoft para adoptar la IA generativa en todas sus áreas de negocio
Cisco Webex AI Assistant, colaboración con IA para la oficina y los contact center
Microsoft añade varias herramientas de seguridad y protección a Azure AI Studio
Amazon invierte 2.750 millones más en Anthropic
«Nuestra meta es que la IA sea una parte integral del trabajo de nuestros clientes»
Microsoft Copilot se podrá ejecutar pronto en local en los PC según Intel
-
A FondoHace 6 díasCómo escoger la plataforma UEM más adecuada para tu empresa
-
NoticiasHace 6 díasInterCloud Autonomi, plataforma de conectividad a la nube en autoservicio que impulsa su automatización
-
NoticiasHace 7 díasHashiCorp abre un hub tecnológico en Madrid para ampliar su presencia en Europa
-
NoticiasHace 5 díasAyesa compra Emergya, especialista en Google Cloud