Microsoft lanzó actualizaciones de seguridad de emergencia para Edge, Teams y Skype para parchear dos vulnerabilidades de día cero en bibliotecas de código abierto utilizadas por los tres productos.
El primer error es una falla identificada como CVE-2023-4863 y causada por una debilidad de desbordamiento del búfer en la biblioteca de códigos WebP (libwebp), cuyo impacto va desde fallas hasta la ejecución de código arbitrario.
El segundo (CVE-2023-5217) también es causado por una debilidad de desbordamiento del buffer en la codificación VP8 de la biblioteca de códecs de video libvpx, lo que podría provocar fallas en la aplicación o permitir la ejecución de código arbitrario luego de una explotación exitosa.
La biblioteca libwebp es utilizada por una gran cantidad de proyectos para codificar y decodificar imágenes en formato WebP, incluidos navegadores web modernos como Safari, Mozilla Firefox, Microsoft Edge, Opera y los navegadores web nativos de Android, así como aplicaciones populares como 1Password y Signal.
libvpx se utiliza para la codificación y decodificación de videos VP8 y VP9 mediante software de reproducción de videos de escritorio y servicios de transmisión en línea como Netflix, YouTube y Amazon Prime Video.
«Microsoft es consciente y ha publicado parches asociados con las dos vulnerabilidades de seguridad del software de código abierto, CVE-2023-4863 y CVE-2023-5217«, reveló Redmond en un aviso del Centro de respuesta de seguridad de Microsoft publicado el lunes.
Las dos fallas de seguridad solo afectan a un número limitado de productos de Microsoft, y la compañía parcheó Microsoft Edge, Microsoft Teams para escritorio, Skype para escritorio y Webp Image Extensions contra CVE-2023-4863 y Microsoft Edge contra CVE-2023-5217.
Microsoft Store actualizará automáticamente a todos los usuarios de Webp Image Extensions afectados. Sin embargo, la actualización de seguridad no se instalará si las actualizaciones automáticas de Microsoft Store están deshabilitadas.
Explotado en ataques de software espía.
Ambas vulnerabilidades fueron etiquetadas como explotadas en estado salvaje cuando se divulgaron a principios de este mes, aunque no hay detalles sobre estos ataques.
Sin embargo, los errores fueron informados por Apple Security Engineering and Architecture (SEAR), Google Threat Analysis Group (TAG) y Citizen Lab, los dos últimos equipos de investigación con un historial comprobado de encontrar y revelar vulnerabilidades de día cero en ataques de software espía dirigidos.
«El acceso a los detalles del error y a los enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución«, dijo Google al revelar que CVE-2023-4863 ha sido explotado en la naturaleza.
«También mantendremos las restricciones si el error existe en una biblioteca de terceros de la que dependen otros proyectos de manera similar, pero que aún no se ha solucionado«.
Google asignó un segundo CVE ID (CVE-2023-5129) a la vulnerabilidad de seguridad libwebp, etiquetándola como un error de gravedad máxima, lo que causó confusión dentro de la comunidad de ciberseguridad.
Si bien un portavoz de Google no respondió a una solicitud de comentarios, MITRE rechazó posteriormente el nuevo ID CVE por ser un duplicado de CVE-2023-4863.
Actualización: artículo revisado para eliminar el vínculo incorrecto entre CVE-2023-5217 y los ataques de software espía Predator.
Fuente y redacción: underc0de.org