Microsoft ha lanzado actualizaciones para parchear dos vulnerabilidades de Zero Day en sus aplicaciones, incluyendo Microsoft Edge, Microsoft Teams y Skype para desktop, así como la extensión de imágenes Webp, las cuales están relacionadas con software de código abierto.
Identificadas como CVE-2023-4863 y CVE-2023-5217, estas vulnerabilidades, son de severidad alta, con una puntuación CVSS de 8.8.
A continuación, se detalla estas vulnerabilidades:
- CVE-2023-4863: causada por una debilidad de buffer overflow (desbordamiento del búfer) en la biblioteca de códigos WebP (libwebp), un atacante podría escribir fuera de los limites de memoria mediante la utilización de una página HTML diseñada, y de este modo llegar a la ejecución de código arbitrario.
- CVE-2023-5217: esta vulnerabilidad también presenta un desbordamiento del búfer en la codificación VP8 de la biblioteca de códecs de video libvpx. Esta vulnerabilidad se encontraba en los navegadores Microsoft Edge basados en Chromium, lo que permitía a los actores de amenazas dañar datos a través de una página HTML diseñada. Ambas vulnerabilidades fueron reportadas a Google Chrome anteriormente y se solucionaron en la versión 117.0.5938.132.
En la siguiente Tabla se detalla productos afectados y soluciones:
| Producto | Versiones afectadas | Versiones fijas |
| Microsoft skype | Anteriores a 8.102.0.211 | 8.102.0.211 |
| WebP Image Extension | Anteriores a 1.2.0 | 1.2.1 |
| Microsoft Teams para Mac | Anteriores a 1.6.00.24065 | 1.6.00.24065 |
| Microsoft Teams | Anteriores a 1.6.00.24065 | 1.6.00.24065 |
| Microsoft Edge (basado en Chromium) | Anteriores a 117.0.2045.55 | 117.0.2045.55 |
Recomendación
- Se recomienda a los usuarios que actualicen a las versiones más recientes para prevenir posibles explotaciones de estas vulnerabilidades.
Referencias