Microsoft aborda vulnerabilidades de día cero en productos clave
Microsoft ha publicado parches para solucionar las vulnerabilidades de día cero en dos bibliotecas de código abierto populares que afectan a varios productos de Microsoft, incluyendo Skype, Teams y su navegador Edge. Sin embargo, Microsoft no ha revelado si estos días cero fueron explotados para atacar sus productos, o si la empresa tiene conocimiento de ello de una manera u otra.
Hallazgo de vulnerabilidades en bibliotecas de código abierto
Las dos vulnerabilidades, conocidas como de día cero porque los desarrolladores no tuvieron aviso previo para corregir los errores, fueron descubiertas el mes pasado, y ambos bugs han sido explotados activamente para atacar a individuos con spyware, según investigadores de Google y Citizen Lab.
Los bugs fueron descubiertos en dos bibliotecas de código abierto comunes, webp y libvpx, que están ampliamente integradas en navegadores, aplicaciones y teléfonos para procesar imágenes y vídeos. La omnipresencia de estas bibliotecas, junto con una advertencia de los investigadores de seguridad de que los bugs fueron utilizados para instalar spyware, provocó una carrera por parte de las empresas de tecnología, los fabricantes de teléfonos y los desarrolladores de aplicaciones para actualizar las bibliotecas vulnerables en sus productos.
Microsoft responde a las vulnerabilidades
En un breve comunicado el lunes, Microsoft dijo que había lanzado soluciones para abordar las dos vulnerabilidades en las bibliotecas webp y libvpx que había integrado en sus productos, y reconoció que existen exploits para ambas vulnerabilidades. Al ser contactado para hacer comentarios, un portavoz de Microsoft se negó a decir si sus productos habían sido explotados en la naturaleza, o si la empresa tiene la capacidad de saberlo.
Los investigadores de seguridad de Citizen Lab dijeron a principios de septiembre que habían descubierto pruebas de que los clientes del Grupo NSO, utilizando el spyware Pegasus de la compañía, habían explotado una vulnerabilidad encontrada en el software de un iPhone actualizado y completamente parcheado.
Apple y Google también afectados
Según Citizen Lab, el bug en la vulnerable biblioteca webp que Apple integra en sus productos fue explotado sin requerir ninguna interacción del propietario del dispositivo, un ataque de cero clics. Apple lanzó soluciones de seguridad para iPhones, iPads, Macs y Watches, y reconoció que el bug puede haber sido explotado por hackers desconocidos.
Google, que se basa en la biblioteca webp en Chrome y otros productos, también comenzó a parchear el bug a principios de septiembre para proteger a sus usuarios de un exploit que Google dijo que sabía que "existe en la naturaleza". Mozilla, que hace el navegador Firefox y el cliente de correo Thunderbird, también parcheó el bug en sus aplicaciones, señalando que Mozilla era consciente de que el bug había sido explotado en otros productos.
Actualizaciones de seguridad y futuras implicaciones
A medida que se descubrieron las vulnerabilidades, Google y Apple emitieron rápidamente actualizaciones de seguridad para abordar los problemas. El día cero en libvpx también afectó a los productos de Microsoft, aunque no está claro si los hackers pudieron explotarlo contra los usuarios de los productos de Microsoft.
Estos incidentes subrayan la importancia de las actualizaciones de seguridad regulares y la vigilancia constante de las vulnerabilidades de seguridad en todas las plataformas y aplicaciones. También destaca el potencial de los días cero para ser explotados por actores maliciosos, subrayando la necesidad de una respuesta rápida y eficaz a estas amenazas emergentes.
Otras noticias • Seguridad
Vulnerabilidad en TeleMessage expone datos sensibles de funcionarios
La vulnerabilidad en TeleMessage, una aplicación de mensajería utilizada por funcionarios de alto nivel, expone datos sensibles a hackers. La falta de transparencia y respuesta...
Ciberataque al Co-op revela vulnerabilidad en comercio minorista británico
El ciberataque al Co-op ha expuesto la vulnerabilidad del comercio minorista en el Reino Unido, afectando a 6,5 millones de clientes. La falta de ciberseguridad...
Malware chino Massistant amenaza la privacidad de usuarios móviles
El malware Massistant, utilizado por las autoridades chinas, permite extraer datos de teléfonos móviles confiscados, planteando serias preocupaciones sobre la privacidad. Su instalación es sencilla...
Exsoldado detenido por extorsión cibernética en telecomunicaciones
Cameron John Wagenius, exsoldado estadounidense, fue detenido por infiltrarse en empresas de telecomunicaciones y extorsionarlas con datos robados. Su caso resalta la creciente amenaza del...
Trump destina 1.000 millones a ciberofensivas y genera críticas
La administración Trump destina 1.000 millones de dólares a operaciones cibernéticas ofensivas, generando críticas por recortes en ciberdefensa. Legisladores y expertos advierten sobre la falta...
Ciberataque a Episource expone datos de 5.4 millones de pacientes
Un ciberataque a Episource ha comprometido la información personal y médica de más de 5.4 millones de pacientes en EE. UU. Este incidente resalta las...
Paragon enfrenta dilemas éticos tras escándalo de software espía
Paragon, empresa de software espía, enfrenta dilemas éticos tras su escándalo en Italia y un contrato con ICE. La presión internacional por el respeto a...
Bitchat de Dorsey enfrenta críticas por inseguridad y vulnerabilidades
El lanzamiento de Bitchat por Jack Dorsey ha generado críticas por la falta de pruebas de seguridad y vulnerabilidades en su diseño. Aunque promete mensajería...
Lo más reciente
- 1
Vulnerabilidades del SS7 amenazan privacidad en el Medio Oriente
- 2
Tensiones en Europa por regulación de IA y desarrollo tecnológico
- 3
Perplexity se asocia con Airtel para expandir IA en India
- 4
Usuarios de Claude Code frustrados por restricciones y falta de comunicación
- 5
Microsoft aumenta emisiones de carbono y lucha por sostenibilidad
- 6
Diarrha N’Diaye-Mbaye cierra Ami Colé ante desafíos empresariales
- 7
Hadrian recauda 260 millones para revitalizar manufactura en EE. UU