Inicio Noticias Detalles
Un agente de IA descubre 21 vulnerabilidades de día cero en FFmpeg, Chrome corrige 429
2026-06-08 09:56
Favoritos

es.wedoany.com Noticia: Una startup de seguridad llamada depthfirst utilizó un agente de IA autónomo para escanear aproximadamente 1,5 millones de líneas de código C en la biblioteca multimedia de código abierto FFmpeg, descubriendo 21 vulnerabilidades de día cero previamente desconocidas, cada una con una entrada de prueba de concepto (PoC) reproducible. La empresa indicó que el costo de esta ejecución fue de aproximadamente 1000 dólares. Algunas de estas vulnerabilidades habían estado latentes entre 15 y 20 años; un problema de desbordamiento de pila en el código de la tabla de descripción de servicios se remonta a 2003, con una antigüedad de 23 años.

Estas vulnerabilidades se concentran principalmente en analizadores y demultiplexores, afectando componentes como el demultiplexor TS y el decodificador VP9, siendo en su mayoría desbordamientos de montón o pila. El informe de depthfirst enumera 9 identificadores CVE (CVE-2026-39210 a CVE-2026-39218) y señala que las vulnerabilidades restantes ya han sido corregidas pero aún no tienen asignado un número. La empresa también publicó una PoC.

Esa misma semana, Google lanzó la versión 149 de Chrome, corrigiendo 429 vulnerabilidades de seguridad, estableciendo un récord de correcciones en una sola versión. Más de 100 de ellas eran de gravedad crítica o alta, siendo los problemas principales el uso después de liberación y la validación de entrada insuficiente. La vulnerabilidad más grave fue CVE-2026-10881 (CVSS 9.6), una falla de lectura y escritura fuera de límites en el motor gráfico ANGLE, por la cual Google pagó 97.000 dólares. La mayoría de las vulnerabilidades corregidas fueron descubiertas internamente por Google: solo 10 de aproximadamente 90 vulnerabilidades de alta gravedad provinieron de investigadores externos, y 19 de las 22 vulnerabilidades de gravedad crítica fueron halladas por su equipo interno. Sin embargo, Google no vinculó directamente las 429 vulnerabilidades con la IA.

Google reformó su programa de recompensas por vulnerabilidades en abril para hacer frente a la gran cantidad de informes generados por IA, exigiendo ahora que los remitentes proporcionen pasos de reproducción concisos. El agente Big Sleep de Google reportó previamente una serie de vulnerabilidades en FFmpeg, que ahora pueden verse marcadas como BIGSLEEP en la página de seguridad del proyecto; el modelo Mythos de Anthropic extrajo de FFmpeg una vulnerabilidad H.264 que existía desde hacía 16 años, entre otras, con un costo de aproximadamente 10.000 dólares, y tres de esas vulnerabilidades ya fueron corregidas en FFmpeg 8.1. Además, otra herramienta autónoma descubrió en Redis una vulnerabilidad de ejecución remota de código autenticada que existía desde la versión 7.2.0, con más de dos años de antigüedad. Las investigaciones también muestran que, en febrero, un estudio permitió que un agente reprodujera más de la mitad de las PoC válidas de 100 vulnerabilidades N-day reales del kernel de Linux, superando a las pruebas de fuzzing.

Para los usuarios de FFmpeg, se recomienda obtener lo antes posible las versiones compiladas actualizadas o las actualizaciones de seguridad de las distribuciones, priorizando cualquier componente que procese RTSP o AV1-over-RTP no confiables. FFmpeg está ampliamente integrado en canalizaciones multimedia, ruedas de Python, imágenes de contenedores y dispositivos; las copias integradas también necesitan parches. Para los usuarios de Chrome, deben actualizar a la versión 149.0.7827.53 en Linux, o a la versión 149.0.7827.53/54 en Windows y macOS, o confirmar que la actualización automática se ha ejecutado.

Descubrir vulnerabilidades se ha vuelto económico, pero la clasificación de informes, la publicación de correcciones y la promoción de su instalación por parte de los usuarios siguen recayendo principalmente en voluntarios y un pequeño número de clasificadores humanos; esta parte del trabajo necesita ponerse al día con la velocidad de los descubrimientos impulsados por IA.

Este artículo es compilado por Wedoany, las citas de la IA deben indicar la fuente «Wedoany»; si hay alguna infracción u otro problema, por favor notifícanos a tiempo, este sitio lo modificará o eliminará. Correo electrónico: news@wedoany.com

Estados Unidos
Información y comunicaciónIngeniería de confidencialidad de información y seguridad de datos
Anterior:La CISA de EE. UU. incluye una vulnerabilidad de alta gravedad de SolarWinds Serv-U en su catálogo KEV
Posterior:La plataforma AVEVA introducirá gráficos de conocimiento industrial
Productos relacionados
Solicitar
Terminal satelital portátil de placa plana de 0,35 m de diámetro (manual)
China Starwin Science & Technology co., Ltd.
Solicitar
Xinshiqi Vehículo autónomo X3 con caja de carga
Neolix Beijing Technology Co., Ltd.
Solicitar
TWP16 Radar de perfil de viento troposférico en banda P
China Huayun Meteorological Technology Group Co., Ltd.
Solicitar
SIS Soluciones de Instrumentación de Seguridad
Beijing Consen Automation Technology Co., Ltd.
Solicitar
Productos de sistemas de multiplexación por división de longitud de onda (WDM)
Shenzhen SDG Information Co., Ltd.
Solicitar
Red de área local inalámbrica | Punto de acceso AirEngine 5776-56T
Huawei
Solicitar
Sistema de monitoreo inteligente de cinta transportadora
LUO YANG WIRE ROPE INSPECTION TECHNOLOGY CO., LTD.
Solicitar
Pinming CCBIM
Pinming Technology Co., Ltd.
Solicitar
Subarray Tx de antena de arreglo en fase banda Ka
COXSAT TECHNOLOGY CO., LTD.
Solicitar
Solución de prevención de fugas de datos en oficina
Sangfor Technologies Inc.
Solicitar
Lámina de silicona termoconductora ABT-CP815
Dongguan Aobote Thermal Technology Co., Ltd.
Solicitar
Conmutador rápido de fuente de alimentación redundante QPS-20A
CHN ENERGY ZHISHEN CONTROL TECHNOLOGY CO., LTD.
Recomendaciones
La empresa china de IA MiniMax explora cotizar en el STAR Market de Shanghái tras su salida a bolsa en Hong Kong
2026-06-08
La CMA del Reino Unido impone nuevas reglas a la búsqueda de Google: los editores podrán controlar el contenido para la IA
2026-06-08
Ooredoo de Catar establece Al Abraj para gestionar activos de torres de telecomunicaciones
2026-06-08
CNT de Ecuador lanza red 5G en Santo Domingo
2026-06-08
Asana, empresa estadounidense, lanza el 'jefe de personal' de IA, Asana Dash
2026-06-08
WeChat de China se abre a los agentes de IA, las superapps del sudeste asiático observan
2026-06-08
TNG eWallet de Malasia explora los pagos por agente
2026-06-08
Anthropic y Tenable se asocian para integrar Claude en la gestión de exposiciones
2026-06-08
CreditChek recauda 600.000 dólares para expandir la infraestructura crediticia en África Oriental
2026-06-08
atNorth, de Islandia, planea un parque de centros de datos de 350 MW en Noruega
2026-06-08
Últimos boletines
1
Cromogenia y Caldiek colaboran para promover adhesivos en el Benelux
2
La empresa china de IA MiniMax explora cotizar en el STAR Market de Shanghái tras su salida a bolsa en Hong Kong
3
La CMA del Reino Unido impone nuevas reglas a la búsqueda de Google: los editores podrán controlar el contenido para la IA
4
El secretario de Salud de EE.UU. impulsa el acceso a registros médicos para investigar la relación entre vacunas y autismo
5
Roche desarrolla un método de PCR para detectar el virus de Bundibugyo en seis días
6
Ooredoo de Catar establece Al Abraj para gestionar activos de torres de telecomunicaciones
7
Estudio alemán: prevalencia de edema de médula ósea parasinfisario del 11,1% y signo de hendidura del 6,0%
8
Clínica Kutis by Kei en Filipinas se expande: 7 nuevas salas de tratamiento y plataforma láser alemana
9
Ávita Care de Brasil busca aprobación de pluma adelgazante de semaglutida en un plazo de 6 meses
10
Ensayo de fase 2 de Zealand Pharma muestra una reducción de peso del 10,7%