Esta semana se produjeron dos acontecimientos con pocos días de diferencia.
Una startup de seguridad informó de
21 vulnerabilidades hasta entonces desconocidas en FFmpeg, la biblioteca multimedia presente en prácticamente todos los productos
relacionados con el vídeo. Todas ellas fueron descubiertas por un agente de IA
autónomo.
Esa misma semana,
Google lanzó Chrome 149 con parches para 429 fallos de seguridad, la mayor cantidad jamás registrada en una sola versión.
Solo los fallos de FFmpeg fueron detectados por IA. El récord de Chrome se
produjo después de que Google renovara su programa de recompensas para
gestionar la avalancha de informes generados por IA. Los mecanismos difieren,
pero la presión es la misma: la IA está poniendo más vulnerabilidades al
alcance de quienes deben solucionarlas, y a mayor velocidad que antes.
Los hallazgos sobre
FFmpeg provienen de DepthFirst, cuyo agente de seguridad autónomo analizó las aproximadamente
1,5 millones de líneas de código C del proyecto y produjo 21
vulnerabilidades de día cero confirmadas,
cada una con una prueba de concepto reproducible.
La empresa estima que el coste de la prueba fue de unos 1.000 dólares. Varios
de los errores habían permanecido latentes durante 15 a 20 años; un
desbordamiento de pila en el código de la tabla de descripción de servicios
data de 2003 y permaneció sin corregir durante 23 años.
La mayoría son desbordamientos de pila o de montón en analizadores y
demultiplexores, que abarcan componentes desde el demultiplexor TS hasta el
decodificador VP9. DepthFirst afirma que algunos ya tienen identificadores
CVE; su informe enumera nueve, del CVE-2026-39210 al CVE-2026-39218, y señala
que el resto están corregidos pero aún no numerados. También
publicó una prueba de concepto.
Por otro lado,
Chrome 149 corrige 429 vulnerabilidades, un récord para una sola versión.
Más de 100 son críticas o de alta gravedad,
principalmente de uso de memoria liberada y validación de entrada
insuficiente.
La peor, CVE-2026-10881 (CVSS 9.6), es una vulnerabilidad de lectura y
escritura fuera de límites en el motor gráfico ANGLE que permite que una
página manipulada escape del entorno aislado y ejecute código en el host.
Google pagó 97.000 dólares por ella.
Los errores de mayor gravedad fueron en su mayoría hallazgos internos: de
aproximadamente 90 errores de alta gravedad, solo 10 provenían de
investigadores externos, y 19 de los 22 críticos fueron descubiertos por la
propia Google. La conexión con la IA se relaciona más con el volumen que con
la autoría.
Google no ha vinculado el error 429 con la IA; la señal oficial es la
revisión del programa de recompensas que realizó en abril, motivada por una avalancha de informes generados por IA, y que ahora
solicita un método de reproducción conciso en lugar de los extensos informes
que produce la IA.
El agente Big Sleep de Google reportó una serie de errores en FFmpeg el año
pasado, ahora visibles en la
página de seguridad del proyecto, etiquetada como BIGSLEEP. El modelo Mythos de Anthropic extrajo una
vulnerabilidad de H.264 de 16 años de antigüedad y otras de FFmpeg por
aproximadamente $10.000, tres de las cuales se incluyeron en FFmpeg 8.1,
según su propio informe.
Para actualizar FFmpeg, descargue la compilación corregida del proyecto
original o la actualización de seguridad de su distribución tan pronto como
esté disponible, y priorice cualquier cosa que consuma RTSP no confiable o
AV1-over-RTP. FFmpeg se incluye ampliamente en pipelines multimedia, paquetes
Python, imágenes de contenedores y dispositivos, así que no se limite a los
paquetes del sistema; esas copias integradas también necesitan parches.
Encontrar estos errores se ha vuelto económico; clasificar los informes,
distribuir las correcciones e instalarlas no lo ha sido, y gran parte de ese
trabajo aún recae en voluntarios y un pequeño grupo de personas que ahora
deben seguir el ritmo de las máquinas.
Fuente:
THN