A Microsoft acaba de lançar atualizações de segurança de emergência para três de seus produtos. As atualizações corrigem falhas de zero dia em bibliotecas de código aberto usadas pelo Microsoft Edge, o Teams e o Skype.]
As vulnerabilidades de zero dia
A primeira vulnerabilidade é uma falha rastreada como CVE-2023-4863 e causada por uma fraqueza de estouro de buffer de heap na biblioteca de código WebP (libwebp), cujo impacto varia de travamentos à execução arbitrária de código.
A segunda, rastreada como CVE-2023-5217, também é causado por fraqueza de estouro de buffer de heap na codificação VP8 da biblioteca de codecs de vídeo libvpx, o que pode levar a travamentos do aplicativo ou permitir a execução arbitrária de código após uma exploração bem-sucedida.
A biblioteca libwebp é usada por um grande número de projetos para codificação e decodificação de imagens no formato WebP, incluindo navegadores modernos como Safari, Mozilla Firefox, Microsoft Edge, Opera e navegadores Android nativos, bem como aplicativos populares como 1Password e Signal. O libvpx é usado para codificação e decodificação de vídeo VP8 e VP9 por software reprodutor de vídeo para desktop e serviços de streaming online como Netflix, YouTube e Amazon Prime Video.
Microsoft Edge, Teams e Skype são corrigidos
A empresa revelou em um comunicado do Microsoft Security Response Center publicado ontem que, “a Microsoft está ciente e lançou patches associados às duas vulnerabilidades de segurança de software de código aberto, CVE-2023-4863 e CVE-2023-5217”.
As duas falhas de segurança afetam apenas um número limitado de produtos Microsoft, com a empresa corrigindo Microsoft Edge, Microsoft Teams for Desktop, Skype for Desktop e Webp Image Extensions contra CVE-2023-4863 e Microsoft Edge contra CVE-2023-5217.
A Microsoft Store atualizará automaticamente todos os usuários afetados das extensões de imagem Webp. No entanto, a atualização de segurança não será instalada se as atualizações automáticas da Microsoft Store estiverem desativadas.
Explorado em ataques de spyware
Ambas as vulnerabilidades foram marcadas como exploradas quando divulgadas no início deste mês. Embora não haja informações sobre ataques direcionados à falha WebP, os pesquisadores do Google Threat Analysis Group (TAG) e do Citizen Lab revelaram que os invasores usaram CVE-2023-5217 para implantar o spyware Predator da Cytrox.
Embora não haja detalhes sobre os ataques CVE-2023-4863, o bug foi relatado pela Apple Security Engineering and Architecture (SEAR) e pelo Citizen Lab, este último com um histórico comprovado de descoberta e divulgação de zero-days explorados em ataques direcionados de spyware.