Microsoft no dirá si el software espía ha explotado sus productos

Créditos de imagen: Bryce Durbin/TechCrunch

Microsoft ha lanzado parches para corregir vulnerabilidades de día cero en dos bibliotecas populares de código abierto que afectan a múltiples productos de Microsoft, incluidos Skype, Teams y el navegador Edge. Pero Microsoft no dirá si esos días cero se utilizaron para apuntar a sus productos o si la compañía sabía de alguna manera.

Las vulnerabilidades se descubrieron el mes pasado (conocidas como día cero porque los desarrolladores no recibieron aviso previo para corregir los errores) y ambas vulnerabilidades han sido explotadas activamente para atacar a personas con software espía, según investigadores de Google y Citizen Lab.

Los errores se descubrieron en dos bibliotecas populares de código abierto, webp y libvpx, que están ampliamente integradas en navegadores, aplicaciones y teléfonos para procesar imágenes y vídeos. La ubicuidad de estas bibliotecas, junto con los investigadores de seguridad que advierten que se podría abusar de los errores para instalar software espía, ha llevado a las empresas de tecnología, fabricantes de teléfonos y desarrolladores de aplicaciones a apresurarse a actualizar las bibliotecas vulnerables en sus productos.

en Declaración resumida Microsoft dijo el lunes que ha implementado correcciones para abordar dos vulnerabilidades en las bibliotecas webp y libvpx que ha integrado en sus productos, y reconoció la existencia de exploits para… ambos puntos débiles.

Cuando se le contactó para hacer comentarios, un portavoz de Microsoft se negó a decir si sus productos habían sido explotados directamente o si la empresa tenía la capacidad de saberlo.

Los investigadores de seguridad de Citizen Lab dijeron a principios de septiembre que habían Evidencia descubierta Los agentes de NSO Group, utilizando el software espía Pegasus de la compañía, explotaron una vulnerabilidad encontrada en un software de iPhone actualizado y completamente parcheado.

Según Citizen Lab, la falla en una biblioteca webp vulnerable que Apple integra en sus productos fue explotada sin requerir ninguna interacción por parte del propietario del dispositivo, lo que se conoce como ataque de clic cero. manzana Se introducen reformas de seguridad para iPhone, iPad, Mac y relojes, y reconoció que la falla pudo haber sido explotada por piratas informáticos desconocidos.

Google confía en la biblioteca webp en Chrome y también en otros productos La corrección de errores ha comenzado a principios de septiembre para proteger a sus usuarios de un exploit que Google dijo que sabía que «existía en la naturaleza». Mozilla, que también fabrica el navegador Firefox y el cliente de correo electrónico Thunderbird. Error corregido En sus aplicaciones, señalar que Mozilla estaba al tanto de la vulnerabilidad que estaba siendo explotada en otros productos.

Más adelante en el mes, los investigadores de seguridad de Google dijeron que habían descubierto otra vulnerabilidad, esta vez en la biblioteca libvpx, que Google dijo… fueron abusados Por un proveedor comercial de software espía, cuyo nombre Google se negó a revelar. Poco después, Google lanzó una actualización para corregir el débil error integrado de libvpx en Chrome.

Apple lanzó un Actualización de seguridad el miércoles para corregir un error de libvpx en iPhones y iPads, junto con otra vulnerabilidad del kernel que, según Apple, explota dispositivos que ejecutan software anterior a iOS 16.6.

Al final resultó que, la vulnerabilidad de suma cero en libvpx también afectó a los productos de Microsoft, aunque aún no está claro si los piratas informáticos podrían explotarla contra los usuarios de productos de Microsoft.