Vulnerabilidad en Creditcoin (CVE-2024-22410)

Creditcoin es una red que permite transacciones de crédito entre blockchain. El binario de Windows del nodo Creditcoin carga un conjunto de archivos DLL proporcionados por Microsoft al inicio. Si un usuario malintencionado tiene acceso para sobrescribir el directorio de archivos del programa, es posible reemplazar estas DLL y ejecutar código arbitrario. La opinión del equipo de desarrollo de blockchain es que la amenaza que plantea un hipotético ataque de plantación binaria es mínima y representa un riesgo de baja seguridad. Los archivos DLL vulnerables provienen del subsistema de red de Windows, el runtime de Visual C++ y primitivas criptográficas de bajo nivel. En conjunto, estas dependencias son necesarias para un gran ecosistema de aplicaciones, que van desde aplicaciones de seguridad de nivel empresarial hasta motores de juegos, y no representan una falta fundamental de seguridad o supervisión en el diseño e implementación de Creditcoin. El equipo de blockchain adopta la postura de que ejecutar Creditcoin en Windows no es oficialmente compatible y, en el mejor de los casos, debería considerarse experimental.