Síguenos F Y T L I T R

Microsoft corrige dos vulnerabilidades de día cero que afectan a Skype y Edge, también registradas en Apple y Google

Archivo - El navegador Microsoft Edge. | MICROSOFT - Archivo

| Madrid |

Microsoft ha puesto a disposición de los usuarios parches para corregir las vulnerabilidades de día cero en las bibliotecas de código abierto libwebp y libvpx (CVE-2023-4863 y CVE-2023-5217), que afectan a servicios como Skype, Teams y Edge, aunque no comunicará si sus productos han sido explotados o si tienen la capacidad de averiguarlo.

La vulnerabilidad CVE-2023-4863, referida a la biblioteca libwebp, fue descubierta inicialmente en Google y Apple, quienes lanzaron parches durante el mes de septiembre para frenar la explotación activa de sus servicios.

Por otra parte, la vulnerabilidad CVE-2023-5217, que hace referencia a la biblioteca libvpx, ha sido corregida por Google esta misma semana, cuando anunció una actualización de Chrome (117.0.5938) para Windows, Mac y Linux, en la que incluía un parche para este fallo.

Ahora, Microsoft ha lanzado parches para corregir las dos vulnerabilidades de día cero CVE-2023-4863 y CVE-2023-5217, las cuales pueden afectar a servicios de la compañía como Skype y Teams o, incluso, a su navegador Edge, ya que utilizan estas bibliotecas públicas.

Así lo ha explicado la tecnológica en una publicación en su blog, donde ha detallado que, a través de su investigación, han descubierto que las vulnerabilidades «afectan a un subconjunto» de sus productos y, por tanto, han lanzado parches para solucionar el fallo de seguridad.

En el caso de la vulnerabilidad CVE-2023-4863, la compañía ha lanzado parches asociados con Microsoft Edge, Microsoft Teams para escritorio, Skype para escritorio y Extensiones de imagen Webp (lanzadas en Windows y actualizadas a través de Microsoft Store). Igualmente, para la vulnerabilidad CVE-2023-5217 han puesto a disposición parches para Microsoft Edge.

No obstante, según las declaraciones de un portavoz de Microsoft a TechCrunch, la compañía no compartirá información sobre si sus productos han sido explotados por estas vulnerabilidades, así como tampoco detallará si tienen los recursos para averiguar cómo han podido afectar estos fallos de seguridad.

En concreto, según la descripción de la vulnerabilidad CVE-2023-4863, esta impacta en el desbordamiento del búfer del montón en el 'software' de biblioteca pública libwebp, que se utiliza para codificar y decodificar imágenes en formato WebP. Así, solo se necesitaría una imagen en formato WebP maliciosa para ejecutar código malicioso en el equipo afectado y provocar un fallo del sistema.

En cuanto la vulnerabilidad CVE-2023-5217, impacta en el desbordamiento del búfer de codificación VP8 en libvpx, la biblioteca de códex de vídeo en formato libvpx. Es decir, el fallo puede haber llegado a los usuarios que utilizan VP8 para codificar sus vídeos en este formato de compresión.

Relacionado
Lo más visto