Dos cosas llegaron al mismo tiempo a los pocos días de esta semana. Una startup de seguridad ha informado de 21 vulnerabilidades previamente desconocidas en FFmpeg, la biblioteca multimedia incluida en casi todo lo relacionado con vídeos. Todas estas vulnerabilidades fueron descubiertas por agentes autónomos de IA.
Esa misma semana, Google envió Chrome 149 con parches para 429 errores de seguridad. Esta es la mayor cantidad jamás alcanzada para un solo lanzamiento.
La IA solo descubrió errores en FFmpeg. El récord de Chrome se produce después de que Google revisara su programa de recompensas para hacer frente al gran volumen de informes generados por la IA. La mecánica es diferente, pero la presión es la misma. La IA está poniendo más vulnerabilidades ante las personas que deben abordarlas, y más pronto que nunca.
Los hallazgos de FFmpeg provienen de DepthFirst, cuyo agente de seguridad autónomo escaneó aproximadamente 1,5 millones de líneas de C en el proyecto y produjo 21 días cero confirmados con entradas de prueba de concepto reproducibles.
La compañía estima que su funcionamiento costará alrededor de 1.000 dólares. Algunos de los insectos han estado inactivos durante 15 a 20 años. Un desbordamiento de pila en el código de la tabla de descripción del servicio se remonta a 2003 y estuvo desatendido durante 23 años.
La mayoría son desbordamientos de pila o montón en analizadores y demuxers, desde demuxers TS hasta decodificadores VP9. Algunos ya tienen identificadores CVE, según DepthFirst. El documento enumera nueve, CVE-2026-39210 a CVE-2026-39218, y afirma que el resto se ha corregido pero aún no está numerado. También se publicó PoC.
En otras noticias, Chrome 149 corrige 429 vulnerabilidades, un récord para una sola versión. Cualquier valor superior a 100 es crítico o de alta gravedad, principalmente uso después de la liberación y validación de entrada deficiente.
El peor, CVE-2026-10881 (CVSS 9.6), es una lectura y escritura fuera de límites en el motor gráfico ANGLE que permite que una página diseñada escape del entorno limitado y ejecute código en el host. Google pagó 97.000 dólares por él.
Los errores más graves se encontraron principalmente internamente. De los aproximadamente 90 errores de alta gravedad, sólo 10 fueron creados por investigadores externos y 19 de los 22 errores críticos eran exclusivos de Google. Cuando se trata de IA, la cantidad es más importante que la autoría.
Google no ha vinculado 429 a la IA. La señal registrada es una revisión de las recompensas en abril provocada por una avalancha de publicaciones generadas por IA, y ahora exige una reproducción concisa de las publicaciones largas que las IA envían en masa.
El agente Big Sleep de Google informó una serie de errores en FFmpeg el año pasado, que ahora se pueden ver en la página de seguridad del proyecto etiquetada como BIGSLEEP, y el modelo Mythos de Anthropic extrajo fallas H.264 de 16 años y más de FFmpeg por alrededor de $10,000, tres de los cuales se enviaron con FFmpeg 8.1, dijo la compañía en un artículo.
Hace unos días, otra herramienta autónoma descubrió un RCE autenticado en Redis que existe desde la versión 7.2.0 y pasó desapercibido durante más de dos años. Este estudio señala lo mismo. En febrero, rompimos la confusión y obligamos a nuestros agentes a recrear pruebas de concepto funcionales para más de la mitad de los 100 errores de N días del kernel de Linux del mundo real.
Para FFmpeg, obtenga compilaciones ascendentes fijas o actualizaciones de seguridad de distribución tan pronto como lleguen, priorizando aquellas que traen RTSP o AV1-over-RTP que no son de confianza. FFmpeg se incluye ampliamente con canalizaciones de medios, ruedas de Python, imágenes de contenedores y dispositivos, así que no se limite a los paquetes del sistema. Las copias integradas también requieren un parche.
Para Chrome, actualice a 149.0.7827.53 en Linux y 149.0.7827.53/54 en Windows y macOS, o asegúrese de que se realicen actualizaciones automáticas.
Las respuestas deben adaptarse al nuevo ritmo. Cosas como ciclos de parches más rápidos, actualizaciones automáticas sin importar dónde existan y aumentos de dependencia con correcciones CVE tratadas como trabajo de seguridad en lugar de mantenimiento programado.
Sin embargo, lo difícil está cambiando. Encontrar estos errores se ha vuelto barato. Los informes aún no tienen prioridad, las correcciones no se distribuyen ni se instalan, y gran parte de ese trabajo aún recae en voluntarios y un pequeño número de priorizadores humanos de quienes ahora se espera que sigan el ritmo de las máquinas.
Source link
