Microsoft aborda vulnerabilidades de día cero en productos clave
Microsoft ha publicado parches para solucionar las vulnerabilidades de día cero en dos bibliotecas de código abierto populares que afectan a varios productos de Microsoft, incluyendo Skype, Teams y su navegador Edge. Sin embargo, Microsoft no ha revelado si estos días cero fueron explotados para atacar sus productos, o si la empresa tiene conocimiento de ello de una manera u otra.
Hallazgo de vulnerabilidades en bibliotecas de código abierto
Las dos vulnerabilidades, conocidas como de día cero porque los desarrolladores no tuvieron aviso previo para corregir los errores, fueron descubiertas el mes pasado, y ambos bugs han sido explotados activamente para atacar a individuos con spyware, según investigadores de Google y Citizen Lab.
Los bugs fueron descubiertos en dos bibliotecas de código abierto comunes, webp y libvpx, que están ampliamente integradas en navegadores, aplicaciones y teléfonos para procesar imágenes y vídeos. La omnipresencia de estas bibliotecas, junto con una advertencia de los investigadores de seguridad de que los bugs fueron utilizados para instalar spyware, provocó una carrera por parte de las empresas de tecnología, los fabricantes de teléfonos y los desarrolladores de aplicaciones para actualizar las bibliotecas vulnerables en sus productos.
Microsoft responde a las vulnerabilidades
En un breve comunicado el lunes, Microsoft dijo que había lanzado soluciones para abordar las dos vulnerabilidades en las bibliotecas webp y libvpx que había integrado en sus productos, y reconoció que existen exploits para ambas vulnerabilidades. Al ser contactado para hacer comentarios, un portavoz de Microsoft se negó a decir si sus productos habían sido explotados en la naturaleza, o si la empresa tiene la capacidad de saberlo.
Los investigadores de seguridad de Citizen Lab dijeron a principios de septiembre que habían descubierto pruebas de que los clientes del Grupo NSO, utilizando el spyware Pegasus de la compañía, habían explotado una vulnerabilidad encontrada en el software de un iPhone actualizado y completamente parcheado.
Apple y Google también afectados
Según Citizen Lab, el bug en la vulnerable biblioteca webp que Apple integra en sus productos fue explotado sin requerir ninguna interacción del propietario del dispositivo, un ataque de cero clics. Apple lanzó soluciones de seguridad para iPhones, iPads, Macs y Watches, y reconoció que el bug puede haber sido explotado por hackers desconocidos.
Google, que se basa en la biblioteca webp en Chrome y otros productos, también comenzó a parchear el bug a principios de septiembre para proteger a sus usuarios de un exploit que Google dijo que sabía que "existe en la naturaleza". Mozilla, que hace el navegador Firefox y el cliente de correo Thunderbird, también parcheó el bug en sus aplicaciones, señalando que Mozilla era consciente de que el bug había sido explotado en otros productos.
Actualizaciones de seguridad y futuras implicaciones
A medida que se descubrieron las vulnerabilidades, Google y Apple emitieron rápidamente actualizaciones de seguridad para abordar los problemas. El día cero en libvpx también afectó a los productos de Microsoft, aunque no está claro si los hackers pudieron explotarlo contra los usuarios de los productos de Microsoft.
Estos incidentes subrayan la importancia de las actualizaciones de seguridad regulares y la vigilancia constante de las vulnerabilidades de seguridad en todas las plataformas y aplicaciones. También destaca el potencial de los días cero para ser explotados por actores maliciosos, subrayando la necesidad de una respuesta rápida y eficaz a estas amenazas emergentes.
Otras noticias • Seguridad
Extradición de Xu Zewei revela tensiones cibernéticas Italia-EE.UU
La extradición de Xu Zewei desde Italia a Estados Unidos destaca las tensiones en ciberseguridad entre ambos países. Acusado de ciberataques respaldados por China, su...
Ciberataque a Itron revela vulnerabilidad del sector energético
El ataque cibernético a Itron destaca la vulnerabilidad del sector energético ante amenazas digitales. La ciberseguridad es crucial para proteger infraestructuras críticas y mantener la...
Morpheus spyware italiano amenaza privacidad y derechos digitales
Morpheus es un spyware italiano que engaña a las víctimas para que lo instalen, utilizando tácticas como la suplantación de aplicaciones. Desarrollado por IPS, plantea...
Candidatura de Plankey a CISA revela tensiones políticas en ciberseguridad
La retirada de Sean Plankey como candidato a dirigir CISA refleja tensiones políticas que afectan la ciberseguridad en EE. UU. Sin un liderazgo claro, la...
Vercel sufre violación de datos y genera alarma en tecnología
La violación de datos en Vercel ha generado preocupación en la industria tecnológica, revelando que los hackers accedieron a múltiples cuentas de clientes. Este incidente...
Vulnerabilidad en iPhones permite acceso a mensajes eliminados
Una vulnerabilidad en iPhones y iPads permite a las autoridades acceder a mensajes eliminados, generando preocupación sobre la privacidad. Apple lanzó una actualización para corregir...
Condena de ex negociador expone traiciones en ciberseguridad
La condena de Angelo Martino, ex negociador de ransomware, revela traiciones en ciberseguridad. Su colaboración con criminales y la falta de ética comprometen la confianza...
Mastodon sufre ataque DDoS y resalta vulnerabilidad de redes
Un ataque DDoS afectó a Mastodon, una red social descentralizada, generando preocupación entre sus usuarios. Aunque la plataforma implementó contramedidas rápidamente, el ataque resalta la...
Lo más reciente
- 1
Competencia en IA se intensifica tras fin de exclusividad de Microsoft
- 2
Amazon presenta "Join the chat" para compras más interactivas
- 3
Italia en crisis por espionaje y acusaciones a Paragon Solutions
- 4
Google colabora con el Pentágono en inteligencia artificial ética
- 5
Lovable lanza generador de apps sin código adaptado a Apple
- 6
Australia exige a plataformas pagar a editores por noticias
- 7
Apple lanza suscripción anual con tarifas mensuales más bajas

