Microsoft tomó medidas para abordar las vulnerabilidades de día cero que afectan a las bibliotecas de código abierto libwebp y libvpx, que impactan en servicios populares como Skype, Teams y Edge.
Sin embargo, la empresa no proporcionará detalles sobre si sus productos han sido objeto de explotación o si tienen la capacidad de rastrear tales incidentes.
La vulnerabilidad conocida como CVE-2023-4863, relacionada con la biblioteca libwebp, fue inicialmente descubierta por Google y Apple, quienes emitieron parches en septiembre para mitigar la explotación activa en sus servicios.
Por otro lado, el CVE-2023-5217, que se refiere a la biblioteca libvpx, ha sido corregido por Google esta semana a través de una actualización de Chrome (versión 117.0.5938) para Windows, Mac y Linux, que incluye un parche para esta vulnerabilidad.
Microsoft ha lanzado parches para solucionar ambas vulnerabilidades de día cero, CVE-2023-4863 y CVE-2023-5217, las cuales pueden afectar a servicios de la compañía como Skype, Teams e incluso a su navegador Edge, ya que utilizan estas bibliotecas de código abierto.
La compañía ha detallado en su blog que, tras una investigación, se ha descubierto que las vulnerabilidades "afectan a un subconjunto" de sus productos, por lo que se han lanzado parches para abordar estos problemas de seguridad.
Skype lanzó el uso compartido de pantalla en Android y iOS, junto con múltiples mejoras en nuestra experiencia de llamadas móviles. Foto:Skype
Para el CVE-2023-4863, Microsoft ha emitido parches relacionados con Microsoft Edge, Microsoft Teams para escritorio, Skype para escritorio y Extensiones de imagen Webp (lanzadas en Windows y actualizadas a través de Microsoft Store). Asimismo, para el CVE-2023-5217, se han proporcionado parches para Microsoft Edge.
No obstante, según un portavoz de Microsoft citado por 'TechCrunch', la empresa no revelará información sobre si sus productos han sido explotados debido a estas vulnerabilidades, ni especificará si posee la capacidad de investigar cómo han impactado estas fallas de seguridad.
En cuanto a las descripciones de las vulnerabilidades, el CVE-2023-4863 afecta al desbordamiento de búfer en el 'software' de biblioteca pública libwebp, utilizado para codificar y decodificar imágenes en formato WebP. Esto significa que una imagen maliciosa en formato WebP podría ejecutar código malicioso en el dispositivo afectado y provocar un fallo del sistema.
En lo que respecta al CVE-2023-5217, este afecta al desbordamiento de búfer de codificación VP8 en libvpx, la biblioteca de códecs de vídeo en formato libvpx. Por lo tanto, el fallo podría haber afectado a los s que utilizan VP8 para codificar sus vídeos en este formato de compresión.
*Este contenido fue reescrito con la asistencia de una inteligencia artificial, basado en la información publicada por Europa Press, y contó con la revisión de la periodista y un editor.
En este portal utilizamos datos de navegación / cookies propias y de terceros para gestionar el portal,
elaborar información estadística, optimizar la funcionalidad del sitio y mostrar publicidad relacionada
con
sus preferencias a través del análisis de la navegación. Si continúa navegando, usted estará aceptando
esta
utilización. Puede conocer cómo deshabilitarlas u obtener más información aquí