Alerta por 21 vulnerabilidades zero-day en FFmpeg y 429 fallos en Chrome
Publicado el
Detección de vulnerabilidades por IA en FFmpeg
Un informe reciente revela que un agente de inteligencia artificial ha descubierto 21 vulnerabilidades previamente desconocidas en FFmpeg, una biblioteca de medios utilizada ampliamente en aplicaciones de vídeo. Este hallazgo se produce en un contexto donde la presión por identificar y corregir fallos de seguridad es cada vez mayor.
La empresa depthfirst, responsable de este descubrimiento, utilizó su agente de seguridad autónomo para escanear aproximadamente 1,5 millones de líneas de código en C de FFmpeg. El resultado fue un total de 21 zero-days, cada uno con un proof-of-concept reproducible. Las vulnerabilidades, algunas de las cuales habían permanecido ocultas durante hasta 20 años, incluyen errores de desbordamiento de pila y heap en diversos componentes del software. La compañía estimó que el coste de esta operación fue de alrededor de 1.000 dólares.
Algunos de estos fallos ya cuentan con identificadores CVE, y depthfirst ha publicado un PoC para demostrar su existencia. Las vulnerabilidades abarcan desde el demuxer TS hasta el decodificador VP9, lo que refleja la diversidad de los problemas encontrados.
Chrome 149 corrige un récord de bugs
En otro ámbito, Google lanzó Chrome 149, que incluye parches para un total de 429 vulnerabilidades, estableciendo un nuevo récord en una única versión del navegador. Entre estos fallos, más de 100 son considerados de alta gravedad, y la mayoría están relacionados con use-after-free y validación insuficiente de entradas.
La vulnerabilidad más crítica, identificada como CVE-2026-10881, presenta un lectura y escritura fuera de límites en el motor gráfico ANGLE, lo que permite que una página manipulada escape del sandbox y ejecute código en el sistema anfitrión. Google ha recompensado a los investigadores con 97.000 dólares por este descubrimiento.
La mayor parte de los fallos críticos fueron detectados internamente, lo que resalta la eficacia de los equipos de seguridad de Google. De los aproximadamente 90 errores de alta severidad, solo 10 fueron reportados por investigadores externos. Esta tendencia sugiere que la conexión de la IA con la detección de vulnerabilidades podría estar más relacionada con la cantidad de informes que con su autoría.
La presión aumenta en la ciberseguridad
La aparición de estos fallos resalta la necesidad de una respuesta ágil en la gestión de parches. La rápida identificación de vulnerabilidades mediante IA está transformando el panorama de la ciberseguridad, obligando a las empresas a adaptarse a ciclos de parches más cortos. Se recomienda a los usuarios de FFmpeg que actualicen sus sistemas tan pronto como se publiquen los parches, especialmente aquellos que trabajan con RTSP o AV1-over-RTP, ya que FFmpeg es ampliamente utilizado en pipelines de medios, imágenes de contenedores, y dispositivos embebidos.
Para Chrome, es esencial actualizar a la versión 149.0.7827.53 en Linux o 149.0.7827.53/54 en Windows y macOS o verificar que la actualización automática se ha realizado correctamente.
La ciberseguridad enfrenta nuevos desafíos ante el auge de la IA en la detección de vulnerabilidades. Aunque identificar estos fallos se ha vuelto más accesible, el proceso de triage y corrección sigue siendo un reto, recayendo en muchos casos sobre voluntarios y un reducido número de triadores humanos que deben mantener el ritmo marcado por las máquinas.