A Microsoft lançou patches para resolver vulnerabilidades de dia zero em duas bibliotecas populares de código aberto que afetam o Skype, o Teams e o navegador Edge. A empresa não divulgou informações sobre se as vulnerabilidades foram utilizadas por invasores para atacar usuários ou não.

Fonte da imagem: geralt/Pixabay

No mês passado, foram descobertas vulnerabilidades de dia zero nas bibliotecas de código aberto webp e libvpx, usadas para processar imagens e vídeos em navegadores, aplicativos e smartphones. De acordo com pesquisadores do Google e do Citizen Lab, essas vulnerabilidades foram usadas ativamente por invasores para instalar spyware nos dispositivos das vítimas.

Especialistas do Citizen Lab relataram que, de acordo com suas pesquisas, clientes da empresa israelense NSO Group, que desenvolve spyware, usaram o software Pegasus para explorar uma vulnerabilidade no software do iPhone atualizado. A peculiaridade desta vulnerabilidade na biblioteca webp integrada pela Apple era que sua exploração não exigia interação com o proprietário do dispositivo (o chamado ataque Zero-Click).

Grandes empresas de tecnologia, incluindo Google e Mozilla, também tomaram medidas para resolver essas vulnerabilidades em seus produtos para proteger os usuários de possíveis ataques. Mais tarde, os pesquisadores de segurança do Google descobriram outra vulnerabilidade, desta vez na biblioteca libvpx, que, segundo eles, foi explorada por um fornecedor comercial de spyware cujo nome o Google se recusou a identificar.

Por sua vez, a Apple e o Google lançaram atualizações de segurança para corrigir a vulnerabilidade libvpx em seus produtos. A Apple também abordou outra vulnerabilidade no kernel dos dispositivos, dizendo que os dispositivos afetados executavam versões de software anteriores ao iOS 16.6.

Acontece que a vulnerabilidade no libvpx também afetou os produtos da Microsoft. A empresa confirmou a presença de vulnerabilidades detectadas nas bibliotecas mencionadas e lançou as atualizações correspondentes. No entanto, a gigante do software não quis comentar se os produtos da empresa foram atacados.

avalanche

Postagens recentes

Workshop de desenho de IA, parte doze: prototipagem rápida com FLUX.1 [dev]

A principal dificuldade do FLUX.1 [dev] do ponto de vista do proprietário de um PC…

4 horas atrás

Neuralink lançou o desenvolvimento de uma mão robótica conectada ao cérebro humano

A empresa americana Neuralink Elon Musk, que desenvolve interfaces cérebro-computador, anunciou o início dos testes…

4 horas atrás

As TVs no remake de Silent Hill 2 escondem mensagens criptografadas – elas são escritas em código Morse

A mensagem criptografada nas fotos Polaroid acabou não sendo a única mensagem secreta dos desenvolvedores…

6 horas atrás

Calendário de lançamentos – 25 de novembro a 1º de dezembro: New Arc Line, Neon Blood e Beyond The Darkness

Lançamos a última edição do Calendário de Lançamentos. No vídeo, falamos sobre o que jogar…

7 horas atrás