Microsoft aborda vulnerabilidades de día cero en productos clave
Microsoft ha publicado parches para solucionar las vulnerabilidades de día cero en dos bibliotecas de código abierto populares que afectan a varios productos de Microsoft, incluyendo Skype, Teams y su navegador Edge. Sin embargo, Microsoft no ha revelado si estos días cero fueron explotados para atacar sus productos, o si la empresa tiene conocimiento de ello de una manera u otra.
Hallazgo de vulnerabilidades en bibliotecas de código abierto
Las dos vulnerabilidades, conocidas como de día cero porque los desarrolladores no tuvieron aviso previo para corregir los errores, fueron descubiertas el mes pasado, y ambos bugs han sido explotados activamente para atacar a individuos con spyware, según investigadores de Google y Citizen Lab.
Los bugs fueron descubiertos en dos bibliotecas de código abierto comunes, webp y libvpx, que están ampliamente integradas en navegadores, aplicaciones y teléfonos para procesar imágenes y vídeos. La omnipresencia de estas bibliotecas, junto con una advertencia de los investigadores de seguridad de que los bugs fueron utilizados para instalar spyware, provocó una carrera por parte de las empresas de tecnología, los fabricantes de teléfonos y los desarrolladores de aplicaciones para actualizar las bibliotecas vulnerables en sus productos.
Microsoft responde a las vulnerabilidades
En un breve comunicado el lunes, Microsoft dijo que había lanzado soluciones para abordar las dos vulnerabilidades en las bibliotecas webp y libvpx que había integrado en sus productos, y reconoció que existen exploits para ambas vulnerabilidades. Al ser contactado para hacer comentarios, un portavoz de Microsoft se negó a decir si sus productos habían sido explotados en la naturaleza, o si la empresa tiene la capacidad de saberlo.
Los investigadores de seguridad de Citizen Lab dijeron a principios de septiembre que habían descubierto pruebas de que los clientes del Grupo NSO, utilizando el spyware Pegasus de la compañía, habían explotado una vulnerabilidad encontrada en el software de un iPhone actualizado y completamente parcheado.
Apple y Google también afectados
Según Citizen Lab, el bug en la vulnerable biblioteca webp que Apple integra en sus productos fue explotado sin requerir ninguna interacción del propietario del dispositivo, un ataque de cero clics. Apple lanzó soluciones de seguridad para iPhones, iPads, Macs y Watches, y reconoció que el bug puede haber sido explotado por hackers desconocidos.
Google, que se basa en la biblioteca webp en Chrome y otros productos, también comenzó a parchear el bug a principios de septiembre para proteger a sus usuarios de un exploit que Google dijo que sabía que "existe en la naturaleza". Mozilla, que hace el navegador Firefox y el cliente de correo Thunderbird, también parcheó el bug en sus aplicaciones, señalando que Mozilla era consciente de que el bug había sido explotado en otros productos.
Actualizaciones de seguridad y futuras implicaciones
A medida que se descubrieron las vulnerabilidades, Google y Apple emitieron rápidamente actualizaciones de seguridad para abordar los problemas. El día cero en libvpx también afectó a los productos de Microsoft, aunque no está claro si los hackers pudieron explotarlo contra los usuarios de los productos de Microsoft.
Estos incidentes subrayan la importancia de las actualizaciones de seguridad regulares y la vigilancia constante de las vulnerabilidades de seguridad en todas las plataformas y aplicaciones. También destaca el potencial de los días cero para ser explotados por actores maliciosos, subrayando la necesidad de una respuesta rápida y eficaz a estas amenazas emergentes.
Otras noticias • Seguridad
Ciberataque a PowerSchool revela vulnerabilidades en educación y datos
El ataque a PowerSchool en diciembre de 2024 expone la vulnerabilidad del sector educativo ante el cibercrimen, comprometiendo datos sensibles de millones. La decisión de...
CrowdStrike reestructura plantilla para optimizar operaciones y crecer ingresos
CrowdStrike ha anunciado una reestructuración que afectará al 5% de su plantilla, buscando optimizar operaciones y alcanzar 10.000 millones de dólares en ingresos anuales. A...
NSO Group indemniza a WhatsApp en histórico fallo judicial
El fallo judicial que obliga a NSO Group a indemnizar a WhatsApp con más de 167 millones de dólares marca un hito en la lucha...
Ciberataque a TeleMessage expone vulnerabilidades en mensajería gubernamental
Un ataque cibernético a TeleMessage ha expuesto vulnerabilidades en las herramientas de mensajería utilizadas por el gobierno y empresas, revelando que los mensajes archivados no...
Filtración en Raw expone datos sensibles y genera alarma
La filtración de datos en la aplicación de citas Raw ha expuesto información sensible de sus usuarios, generando preocupaciones sobre la seguridad y la privacidad....
Apple alerta sobre spyware y aviva debate sobre privacidad digital
La notificación de Apple sobre ataques de spyware a usuarios ha intensificado el debate sobre la privacidad digital. Activistas como Ciro Pellegrino y Eva Vlaardingerbroek...
Karnataka bloquea Proton Mail y desata debate sobre privacidad
El Tribunal Superior de Karnataka ha ordenado el bloqueo de Proton Mail tras una denuncia por correos obscenos, generando un debate sobre privacidad y libertad...
Amenazas gubernamentales en ciberseguridad exigen regulaciones más estrictas
La ciberseguridad enfrenta una creciente amenaza de ataques respaldados por gobiernos, con un aumento en el uso de exploits de día cero. La línea entre...
Lo más reciente
- 1
Ciberataque a SK Telecom afecta a 23 millones de clientes
- 2
Microsoft prohíbe DeepSeek por preocupaciones de seguridad y desinformación
- 3
Apple supera 10.000 millones en ingresos y enfrenta tensiones
- 4
Sterling Anderson deja Aurora tras lanzamiento de camiones autónomos
- 5
Aurora Innovation amplía camiones autónomos a conducción nocturna y adversa
- 6
OpenAI integra ChatGPT con GitHub para mejorar productividad de desarrolladores
- 7
Fizz demanda a Instacart y Partiful por infracción de marca