Microsoft corrige dos vulnerabilidades de día cero que afectan a Skype y Edge

La compañía aseguró que ha lanzado 'parches' para reforzar la seguridad de sus productos.

Se presentan problemas a nivel mundial para acceder a Hotmail, Skype y One Drive. Foto: REUTERS

05.10.2023 11:53 Actualizado: 05.10.2023 13:33

Microsoft tomó medidas para abordar las vulnerabilidades de día cero que afectan a las bibliotecas de código abierto libwebp y libvpx, que impactan en servicios populares como Skype, Teams y Edge.

Sin embargo, la empresa no proporcionará detalles sobre si sus productos han sido objeto de explotación o si tienen la capacidad de rastrear tales incidentes.

(Le puede interesar: Huawei presenta Watch 4: el reloj inteligente que apuesta por la salud y la elegancia).

La vulnerabilidad conocida como CVE-2023-4863, relacionada con la biblioteca libwebp, fue inicialmente descubierta por Google y Apple, quienes emitieron parches en septiembre para mitigar la explotación activa en sus servicios.

Por otro lado, el CVE-2023-5217, que se refiere a la biblioteca libvpx, ha sido corregido por Google esta semana a través de una actualización de Chrome (versión 117.0.5938) para Windows, Mac y Linux, que incluye un parche para esta vulnerabilidad.

Microsoft ha lanzado parches para solucionar ambas vulnerabilidades de día cero, CVE-2023-4863 y CVE-2023-5217, las cuales pueden afectar a servicios de la compañía como Skype, Teams e incluso a su navegador Edge, ya que utilizan estas bibliotecas de código abierto.

(Le puede interesar: ¿De qué trata el 'modo monje' en los celulares, y por qué ayuda a ser más productivo?).

La compañía ha detallado en su blog que, tras una investigación, se ha descubierto que las vulnerabilidades "afectan a un subconjunto" de sus productos, por lo que se han lanzado parches para abordar estos problemas de seguridad.

Skype lanzó el uso compartido de pantalla en Android y iOS, junto con múltiples mejoras en nuestra experiencia de llamadas móviles. Foto:Skype

Para el CVE-2023-4863, Microsoft ha emitido parches relacionados con Microsoft Edge, Microsoft Teams para escritorio, Skype para escritorio y Extensiones de imagen Webp (lanzadas en Windows y actualizadas a través de Microsoft Store). Asimismo, para el CVE-2023-5217, se han proporcionado parches para Microsoft Edge.

(Lea más: Estos son los nuevos modelos de celular, tablets y auriculares de serie FE de Samsung).

No obstante, según un portavoz de Microsoft citado por 'TechCrunch', la empresa no revelará información sobre si sus productos han sido explotados debido a estas vulnerabilidades, ni especificará si posee la capacidad de investigar cómo han impactado estas fallas de seguridad.

En cuanto a las descripciones de las vulnerabilidades, el CVE-2023-4863 afecta al desbordamiento de búfer en el 'software' de biblioteca pública libwebp, utilizado para codificar y decodificar imágenes en formato WebP. Esto significa que una imagen maliciosa en formato WebP podría ejecutar código malicioso en el dispositivo afectado y provocar un fallo del sistema.

(Siga aquí: Huawei presenta Watch 4: el reloj inteligente que apuesta por la salud y la elegancia).

En lo que respecta al CVE-2023-5217, este afecta al desbordamiento de búfer de codificación VP8 en libvpx, la biblioteca de códecs de vídeo en formato libvpx. Por lo tanto, el fallo podría haber afectado a los s que utilizan VP8 para codificar sus vídeos en este formato de compresión.

*Este contenido fue reescrito con la asistencia de una inteligencia artificial, basado en la información publicada por Europa Press, y contó con la revisión de la periodista y un editor.