Curl alerta a GitHub sobre una vulnerabilidad de seguridad por ‘Unicode malicioso’

Daniel Stenberg, desarrollador principal y fundador de Curl, informó que un colaborador de Curl reemplazó una letra ASCII por una alternativa Unicode en una solicitud de extracción, según un reporte reciente. Este cambio, que “parecía idéntico a la versión ASCII” y no pudo detectarse visualmente, pasó desapercibido tanto por los revisores humanos del equipo como por los trabajos de integración continua (CI).

El impacto de modificar una o más letras en una URL puede ser devastador dependiendo de las circunstancias, señaló Stenberg. Para abordar este problema, el equipo de Curl implementó verificaciones destinadas a detectar “Unicode malicioso”. Se añadió un trabajo de CI que escanea todos los archivos del repositorio de Git y valida cada secuencia UTF-8.

En el repositorio de Curl, la mayoría de los archivos y contenidos están en ASCII puro, lo que permitió crear una lista blanca de un pequeño conjunto de secuencias UTF-8 y archivos específicos. El resto de los archivos tienen prohibido usar UTF-8; de lo contrario, fallarán en el trabajo de CI y serán marcados como error. Para reforzar esta medida, el equipo revisó todos los archivos de prueba en el repositorio de Curl, reemplazando las instancias de UTF-8 con secuencias de escape alternativas o equivalentes en ASCII. Algunos de estos usos de UTF-8 eran accidentales y pudieron sustituirse fácilmente.

Con estas acciones, Curl ha fortalecido sus defensas contra riesgos de seguridad similares, protegiendo la integridad de su código frente a posibles vulnerabilidades.