Seguridad | Actualización

Microsoft lanza parches para vulnerabilidades explotadas en Skype, Teams y Edge

Microsoft aborda vulnerabilidades de día cero en productos clave

Microsoft ha publicado parches para solucionar las vulnerabilidades de día cero en dos bibliotecas de código abierto populares que afectan a varios productos de Microsoft, incluyendo Skype, Teams y su navegador Edge. Sin embargo, Microsoft no ha revelado si estos días cero fueron explotados para atacar sus productos, o si la empresa tiene conocimiento de ello de una manera u otra.

Hallazgo de vulnerabilidades en bibliotecas de código abierto

Las dos vulnerabilidades, conocidas como de día cero porque los desarrolladores no tuvieron aviso previo para corregir los errores, fueron descubiertas el mes pasado, y ambos bugs han sido explotados activamente para atacar a individuos con spyware, según investigadores de Google y Citizen Lab.

Los bugs fueron descubiertos en dos bibliotecas de código abierto comunes, webp y libvpx, que están ampliamente integradas en navegadores, aplicaciones y teléfonos para procesar imágenes y vídeos. La omnipresencia de estas bibliotecas, junto con una advertencia de los investigadores de seguridad de que los bugs fueron utilizados para instalar spyware, provocó una carrera por parte de las empresas de tecnología, los fabricantes de teléfonos y los desarrolladores de aplicaciones para actualizar las bibliotecas vulnerables en sus productos.

Microsoft responde a las vulnerabilidades

En un breve comunicado el lunes, Microsoft dijo que había lanzado soluciones para abordar las dos vulnerabilidades en las bibliotecas webp y libvpx que había integrado en sus productos, y reconoció que existen exploits para ambas vulnerabilidades. Al ser contactado para hacer comentarios, un portavoz de Microsoft se negó a decir si sus productos habían sido explotados en la naturaleza, o si la empresa tiene la capacidad de saberlo.

Los investigadores de seguridad de Citizen Lab dijeron a principios de septiembre que habían descubierto pruebas de que los clientes del Grupo NSO, utilizando el spyware Pegasus de la compañía, habían explotado una vulnerabilidad encontrada en el software de un iPhone actualizado y completamente parcheado.

Apple y Google también afectados

Según Citizen Lab, el bug en la vulnerable biblioteca webp que Apple integra en sus productos fue explotado sin requerir ninguna interacción del propietario del dispositivo, un ataque de cero clics. Apple lanzó soluciones de seguridad para iPhones, iPads, Macs y Watches, y reconoció que el bug puede haber sido explotado por hackers desconocidos.

Google, que se basa en la biblioteca webp en Chrome y otros productos, también comenzó a parchear el bug a principios de septiembre para proteger a sus usuarios de un exploit que Google dijo que sabía que "existe en la naturaleza". Mozilla, que hace el navegador Firefox y el cliente de correo Thunderbird, también parcheó el bug en sus aplicaciones, señalando que Mozilla era consciente de que el bug había sido explotado en otros productos.

Actualizaciones de seguridad y futuras implicaciones

A medida que se descubrieron las vulnerabilidades, Google y Apple emitieron rápidamente actualizaciones de seguridad para abordar los problemas. El día cero en libvpx también afectó a los productos de Microsoft, aunque no está claro si los hackers pudieron explotarlo contra los usuarios de los productos de Microsoft.

Estos incidentes subrayan la importancia de las actualizaciones de seguridad regulares y la vigilancia constante de las vulnerabilidades de seguridad en todas las plataformas y aplicaciones. También destaca el potencial de los días cero para ser explotados por actores maliciosos, subrayando la necesidad de una respuesta rápida y eficaz a estas amenazas emergentes.


Podcast El Desván de las Paradojas
Publicidad


Otras noticias • Seguridad

Ciberseguridad vulnerable

Ciberataque a PowerSchool revela vulnerabilidades en educación y datos

El ataque a PowerSchool en diciembre de 2024 expone la vulnerabilidad del sector educativo ante el cibercrimen, comprometiendo datos sensibles de millones. La decisión de...

Reestructuración necesaria

CrowdStrike reestructura plantilla para optimizar operaciones y crecer ingresos

CrowdStrike ha anunciado una reestructuración que afectará al 5% de su plantilla, buscando optimizar operaciones y alcanzar 10.000 millones de dólares en ingresos anuales. A...

Indemnización histórica

NSO Group indemniza a WhatsApp en histórico fallo judicial

El fallo judicial que obliga a NSO Group a indemnizar a WhatsApp con más de 167 millones de dólares marca un hito en la lucha...

Vulnerabilidades cibernéticas

Ciberataque a TeleMessage expone vulnerabilidades en mensajería gubernamental

Un ataque cibernético a TeleMessage ha expuesto vulnerabilidades en las herramientas de mensajería utilizadas por el gobierno y empresas, revelando que los mensajes archivados no...

Filtración datos

Filtración en Raw expone datos sensibles y genera alarma

La filtración de datos en la aplicación de citas Raw ha expuesto información sensible de sus usuarios, generando preocupaciones sobre la seguridad y la privacidad....

Privacidad digital

Apple alerta sobre spyware y aviva debate sobre privacidad digital

La notificación de Apple sobre ataques de spyware a usuarios ha intensificado el debate sobre la privacidad digital. Activistas como Ciro Pellegrino y Eva Vlaardingerbroek...

Bloqueo polémico

Karnataka bloquea Proton Mail y desata debate sobre privacidad

El Tribunal Superior de Karnataka ha ordenado el bloqueo de Proton Mail tras una denuncia por correos obscenos, generando un debate sobre privacidad y libertad...

Amenaza cibernética

Amenazas gubernamentales en ciberseguridad exigen regulaciones más estrictas

La ciberseguridad enfrenta una creciente amenaza de ataques respaldados por gobiernos, con un aumento en el uso de exploits de día cero. La línea entre...