Descubren tres vulnerabilidades de día cero en el lenguaje PHP 7

  • Seguridad

Check Point ha identificado y solucionado varios importantes defectos en el más popular de los lenguajes de programación utilizados en la actualidad: PHP 7.

PHP 7 es la última versión del popular lenguaje de programación web utilizado en más del 80% de los sitios web, ofrece grandes ventajas tanto para los propietarios de las webs como para los desarrolladores.

Durante los últimos meses, Check Point Software Technologies ha analizado el lenguaje PHP 7, dando prioridad al examen de una de sus áreas vulnerables más evidentes, la conocida como the unserialize mechanism (función “unserialize”). “Esta misma función ya había sido aprovechada en el lenguaje PHP 5, permitiendo a los hackers poner en peligro populares plataformas como Magento, vBulletin, Drupal, Joomla! O Pornhub, entre otros.  La forma de infección fue mediante el envío de datos maliciosos dentro de las cookies de cliente o llamadas a la API”, destaca la firm.

“Después de un profundo análisis”, el equipo de investigadores de Check Point ha descubierto tres vulnerabilidades en la función unserialize hasta ahora desconocidas (CVE-2016-7479, CVE-2016-7480 y CVE-2016-7478). “Estos puntos débiles pueden ser aprovechados” por los cibercriminales.

Es más, y tal y como explica la firma, los dos primeros fallos en la seguridad permiten a los atacantes hacerse con el control total de los servidores, permitiéndoles hacer con el sitio web lo que quieran, desde distribuir malware hasta modificar la página o hacerse con los datos de sus clientes.

La última de las vulnerabilidades da lugar a un ataque de denegación del servicio que termina colgando la web, consumiendo toda la memoria y cerrándola.

Check Point informó de estas tres vulnerabilidades al equipo de seguridad de PHP el 15 de septiembre y el 6 de agosto. El equipo de seguridad de PHP hizo llegar el 13 de octubre y el 1 de diciembre parches para dos de las vulnerabilidades. Además, Check Point distribuyo el 18 y el 31 de octubre firmas IPS para solucionar estos fallos, protegiendo a sus clientes frente a cualquier intento de terceros de aprovecharse de ellas.

Recomendaciones que te puedan interesar…

Informe anual del sector TIC y de los contenidos en España 2016

Barómetro del sector de los drones en España

La transformación digital en el sector retail

Estado del negocio digital 2015-2020

10 tendencias de consumo para 2017

Fabricantes de WLAN y LAN cableadas para empresas 

La digitalización: ¿crea o destruye empleo? 

e-commerce para pymes, autónomos y emprendedores

Cómo lograr el máximo rendimiento en tus canales digitales