Microsoft ha lanzado parches para corregir vulnerabilidades de día cero en dos bibliotecas de código abierto que afectan a varios de sus productos. Sin embargo, la empresa se ha abstenido de confirmar si estas vulnerabilidades han sido explotadas en ataques dirigidos.

Detalles de las vulnerabilidades.

Microsoft ha corregido vulnerabilidades críticas en dos bibliotecas de código abierto, webp y libvpx, que afectan a una serie de sus productos, incluidos Skype, Teams y el navegador Edge. Estas vulnerabilidades, conocidas como «días cero» porque no se conocían previamente, fueron descubiertas el mes pasado por investigadores de Google y Citizen Lab. Según los informes, ambos errores han sido explotados activamente para instalar software espía en dispositivos afectados.

Respuesta de Microsoft.

En una declaración emitida el lunes, Microsoft confirmó que había implementado correcciones para ambas vulnerabilidades en sus productos. Sin embargo, cuando se le preguntó si tenía conocimiento de que sus productos habían sido explotados, un portavoz de la empresa se negó a hacer comentarios. Esto ha generado preocupaciones sobre la transparencia de Microsoft en lo que respecta a la seguridad de sus productos.

Las bibliotecas webp y libvpx son ampliamente utilizadas en la industria tecnológica para procesar imágenes y vídeos. Dada su ubicuidad, la revelación de estas vulnerabilidades ha llevado a una rápida acción por parte de otros gigantes tecnológicos como Apple y Google para parchear sus productos. Apple, por ejemplo, confirmó que una de las vulnerabilidades había sido explotada y emitió parches de seguridad para sus dispositivos. Google también actuó rápidamente para corregir el error en sus productos, incluido el navegador Chrome.

Implicaciones de seguridad.

El hecho de que estas vulnerabilidades hayan sido explotadas para instalar software espía eleva la gravedad del asunto. Citizen Lab informó que el software espía Pegasus de NSO Group había sido utilizado para explotar una de las vulnerabilidades. Esto plantea preguntas sobre la seguridad de los productos de Microsoft y si han sido objetivos de ataques similares.

En resumen, aunque Microsoft ha tomado medidas para corregir las vulnerabilidades de día cero en sus productos, la falta de claridad sobre si estos errores han sido explotados plantea preocupaciones sobre la seguridad y la transparencia de la empresa. Con otros gigantes tecnológicos tomando medidas proactivas y transparentes, la postura reservada de Microsoft podría generar más preguntas que respuestas en los próximos días.