Microsoft lanza actualizaciones para varios productos con vulnerabilidad Zero-Day

Microsoft ha lanzado actualizaciones para parchear dos vulnerabilidades de Zero Day en sus aplicaciones, incluyendo Microsoft Edge, Microsoft Teams y Skype para desktop, así como la extensión de imágenes Webp, las cuales están relacionadas con software de código abierto.

Identificadas como CVE-2023-4863 y CVE-2023-5217, estas vulnerabilidades, son de severidad alta, con una puntuación CVSS de 8.8.

A continuación, se detalla estas vulnerabilidades:

  • CVE-2023-4863: causada por una debilidad de buffer overflow (desbordamiento del búfer) en la biblioteca de códigos WebP (libwebp), un atacante podría escribir fuera de los limites de memoria mediante la utilización de una página HTML diseñada, y de este modo llegar a la ejecución de código arbitrario.
  • CVE-2023-5217: esta vulnerabilidad también presenta un desbordamiento del búfer en la codificación VP8 de la biblioteca de códecs de video libvpx. Esta vulnerabilidad se encontraba en los navegadores Microsoft Edge basados en Chromium, lo que permitía a los actores de amenazas dañar datos a través de una página HTML diseñada. Ambas vulnerabilidades fueron reportadas a Google Chrome anteriormente y se solucionaron en la versión 117.0.5938.132.

En la siguiente Tabla se detalla productos afectados y soluciones:

ProductoVersiones afectadasVersiones fijas
Microsoft skypeAnteriores a 8.102.0.2118.102.0.211
WebP Image ExtensionAnteriores a 1.2.0 1.2.1
Microsoft Teams para MacAnteriores a 1.6.00.240651.6.00.24065
Microsoft Teams Anteriores a 1.6.00.240651.6.00.24065
Microsoft Edge (basado en Chromium)Anteriores a 117.0.2045.55117.0.2045.55

Recomendación

  • Se recomienda a los usuarios que actualicen a las versiones más recientes para prevenir posibles explotaciones de estas vulnerabilidades.

Referencias