A Microsoft lançou patches para corrigir vulnerabilidades de dia zero em duas bibliotecas populares de código aberto

A Microsoft lançou patches para corrigir vulnerabilidades de dia zero em duas bibliotecas populares de código aberto que afetam uma variedade de produtos, incluindo Skype, Teams e seu navegador Edge. Mas a Microsoft não quis dizer se essas vulnerabilidades de dia zero foram exploradas para atacar seus produtos ou se a empresa tinha conhecimento de alguma delas.

Pesquisadores do Google e do Citizen Lab dizem que as duas vulnerabilidades, conhecidas como zero-day porque os desenvolvedores não foram notificados com antecedência para corrigi-las, foram descobertas no mês passado e têm sido ativamente exploradas para atingir indivíduos com spyware.

Os bugs foram descobertos em duas bibliotecas comuns de código aberto, webp e libvpx, que são amplamente integradas a navegadores, aplicativos e telefones celulares para processar imagens e vídeos. A omnipresença destas bibliotecas, juntamente com os avisos dos investigadores de segurança de que as vulnerabilidades estão a ser utilizadas para plantar spyware, levou as empresas tecnológicas, os fabricantes de telefones e os programadores de aplicações a apressarem-se a atualizar as bibliotecas vulneráveis ​​nos seus produtos.

A Microsoft disse em um breve comunicado na segunda-feira que lançou correções para duas vulnerabilidades nas bibliotecas webp e libvpx e as integrou em seus produtos, reconhecendo que ambas eram vulneráveis. Quando contactado para comentar, um porta-voz da Microsoft recusou-se a dizer se os seus produtos tinham sido explorados externamente ou se a empresa tinha a capacidade de tomar conhecimento da situação.

Pesquisadores de segurança do CitizenLab disseram no início de setembro que encontraram evidências de que os clientes do NSOGroup usaram o spyware PegASUS da empresa para explorar vulnerabilidades encontradas no software do iPhone mais recente e totalmente corrigido.

De acordo com o CitizenLab, uma vulnerabilidade na biblioteca webp vulnerável que a Apple integra em seus produtos pode ser explorada sem qualquer interação do proprietário do dispositivo, o chamado ataque de clique zero. A Apple lançou correções de segurança para iPhones, iPads, Macs e Relógios e reconheceu que a falha pode ter sido explorada por hackers desconhecidos.

O Google, que depende da biblioteca webp do Chrome e de outros produtos, também começou a corrigir o bug no início de setembro para proteger seus usuários de uma vulnerabilidade da qual o Google disse estar ciente “externamente”. A Mozilla, que executa o navegador Firefox e o cliente de e-mail Thunderbird, também corrigiu o bug em seus aplicativos, observando que a Mozilla está ciente de que o bug foi explorado em outros produtos.

No final deste mês, pesquisadores de segurança do Google disseram ter descoberto outra vulnerabilidade, desta vez na biblioteca libvpx, que o Google disse ter sido abusada por um fornecedor comercial de spyware, cujo nome o Google se recusou a identificar. O Google lançou rapidamente uma atualização para corrigir um bug vulnerável do libvpx integrado ao Chrome.

A Apple lançou na quarta-feira uma atualização de segurança que corrige um bug libvpx em iPhones e iPads, bem como outra vulnerabilidade do kernel que a Apple disse que explorava dispositivos que executavam software anterior ao iOS 16.6.

Acontece que a vulnerabilidade de dia zero no libvpx também afeta os produtos da Microsoft, mas não está claro se os hackers conseguiram explorá-la para atacar os usuários dos produtos da empresa.