Microsoft ha lanzado parches para corregir vulnerabilidades de día cero en dos bibliotecas populares de código abierto que afectan a una variedad de productos, incluidos Skype, Teams y su navegador Edge. Pero Microsoft no dijo si estas vulnerabilidades de día cero fueron aprovechadas para atacar sus productos o si la compañía tenía conocimiento de alguna de ellas.
Los investigadores de Google y Citizen Lab dicen que las dos vulnerabilidades, conocidas como día cero porque no se notificó a los desarrolladores con anticipación para solucionarlas, fueron descubiertas el mes pasado y han sido explotadas activamente para atacar a personas con software espía.
Los errores se descubrieron en dos bibliotecas comunes de código abierto, webp y libvpx, que están ampliamente integradas en navegadores, aplicaciones y teléfonos móviles para procesar imágenes y vídeos. La ubicuidad de estas bibliotecas, junto con las advertencias de los investigadores de seguridad de que se está abusando de las vulnerabilidades para instalar software espía, ha llevado a las empresas de tecnología, fabricantes de teléfonos y desarrolladores de aplicaciones a apresurarse a actualizar las bibliotecas vulnerables en sus productos.
Microsoft dijo en un breve comunicado el lunes que había implementado correcciones para dos vulnerabilidades en las bibliotecas webp y libvpx y las había integrado en sus productos, reconociendo que ambas eran vulnerables. Cuando se le contactó para hacer comentarios, un portavoz de Microsoft se negó a decir si sus productos habían sido explotados externamente o si la empresa tenía la capacidad de conocer la situación.
Los investigadores de seguridad de CitizenLab dijeron a principios de septiembre que encontraron evidencia de que los clientes de NSOGroup utilizaron el software espía PegASUS de la compañía para explotar las vulnerabilidades encontradas en el software de iPhone más reciente y completamente parcheado.
Según CitizenLab, una vulnerabilidad en la biblioteca webp vulnerable que Apple integra en sus productos puede explotarse sin ninguna interacción por parte del propietario del dispositivo, lo que se conoce como ataque de clic cero. Apple implementó correcciones de seguridad para iPhone, iPad, Mac y relojes y reconoció que la falla pudo haber sido explotada por piratas informáticos desconocidos.
Google, que depende de la biblioteca webp en Chrome y otros productos, también comenzó a corregir el error a principios de septiembre para proteger a sus usuarios de una vulnerabilidad de la que Google dijo estar consciente "externamente". Mozilla, que ejecuta el navegador Firefox y el cliente de correo electrónico Thunderbird, también corrigió el error en sus aplicaciones, señalando que Mozilla es consciente de que el error ha sido explotado en otros productos.
A finales de este mes, los investigadores de seguridad de Google dijeron que habían descubierto otra vulnerabilidad, esta vez en la biblioteca libvpx, que según Google había sido abusada por un proveedor comercial de software espía, que Google se negó a nombrar. Google lanzó rápidamente una actualización para corregir un error vulnerable de libvpx integrado en Chrome.
Apple lanzó el miércoles una actualización de seguridad que corrige un error de libvpx en iPhones y iPads, así como otra vulnerabilidad del kernel que, según Apple, explotaba dispositivos que ejecutaban software anterior a iOS 16.6.
Resulta que la vulnerabilidad de día cero en libvpx también afecta a los productos de Microsoft, pero no está claro si los piratas informáticos pudieron aprovecharla para atacar a los usuarios de los productos de la empresa.