WorstFit: Revelando Transformadores Ocultos en ANSI de Windows
2025-01-09
El investigador de seguridad Orange Tsai revela WorstFit, una nueva superficie de ataque en Windows. Aprovechando la función de conversión de charset Best-Fit, WorstFit aprovecha transformaciones inesperadas durante la conversión de UTF-16 a ANSI, lo que lleva a la traversal de rutas, inyección de argumentos e incluso ejecución remota de código (RCE). La naturaleza impredecible de los mapeos Best-Fit en diferentes configuraciones de idioma afecta a numerosas aplicaciones conocidas. La investigación destaca los desafíos de corregir esto en el ecosistema de código abierto y propone mitigaciones como el uso de APIs de caracteres anchos.
Leer más
Tecnología
Codificación de Caracteres