Home Sociedad Microsoft Edge y Teams obtienen correcciones para los días cero en bibliotecas...

Microsoft Edge y Teams obtienen correcciones para los días cero en bibliotecas de código abierto

Microsoft lanzó actualizaciones de seguridad de emergencia para Edge, Teams y Skype para parchear dos vulnerabilidades de día cero en bibliotecas de código abierto utilizadas por los tres productos.

El primer error es una falla identificada como CVE-2023-4863 y causada por una debilidad de desbordamiento del búfer en la biblioteca de códigos WebP (libwebp), cuyo impacto va desde fallas hasta la ejecución de código arbitrario.

El segundo (CVE-2023-5217) también es causado por una debilidad de desbordamiento del buffer en la codificación VP8 de la biblioteca de códecs de video libvpx, lo que podría provocar fallas en la aplicación o permitir la ejecución de código arbitrario luego de una explotación exitosa.

La biblioteca libwebp es utilizada por una gran cantidad de proyectos para codificar y decodificar imágenes en formato WebP, incluidos navegadores web modernos como Safari, Mozilla Firefox, Microsoft Edge, Opera y los navegadores web nativos de Android, así como aplicaciones populares como 1Password. y Señal.

libvpx se utiliza para la codificación y decodificación de videos VP8 y VP9 mediante software de reproducción de videos de escritorio y servicios de transmisión en línea como Netflix, YouTube y Amazon Prime Video.

Las dos fallas de seguridad solo afectan a un número limitado de productos de Microsoft, y la compañía parcheó Microsoft Edge, Microsoft Teams para escritorio, Skype para escritorio y Webp Image Extensions contra CVE-2023-4863 y Microsoft Edge contra CVE-2023-5217.

Microsoft Store actualizará automáticamente a todos los usuarios de Webp Image Extensions afectados. Sin embargo, la actualización de seguridad no se instalará si las actualizaciones automáticas de Microsoft Store están deshabilitadas.

Ambas vulnerabilidades fueron etiquetadas como explotadas en estado salvaje cuando se divulgaron a principios de este mes. Si bien no hay información sobre los ataques dirigidos a la falla WebP, los investigadores del Google Threat Analysis Group (TAG) y Citizen Lab revelaron que los atacantes utilizaron CVE-2023-5217 para implementar el software espía Predator de Cytrox.

Aunque no hay detalles sobre los ataques CVE-2023-4863, el error fue informado por Apple Security Engineering and Architecture (SEAR) y Citizen Lab, este último con un historial comprobado de encontrar y revelar ataques de día cero explotados en ataques de software espía dirigidos.