No caso de vulnerabilidades de dia zero, os desenvolvedores não recebem nenhum aviso prévio para corrigir os bugs. Essas duas falhas de segurança foram descobertas no mês passado. Segundo pesquisadores da Google e Citizen Lab, ambos os bugs foram explorados ativamente para atingir indivíduos com spyware.
Em uma postagem no blog, a Microsoft afirmou que lançou correções para resolver as duas vulnerabilidades nas bibliotecas webp e libvpx que integrou em seus produtos. A empresa também reconheceu que existem explorações para ambas as vulnerabilidades. No entanto, a Microsoft se recusou a comentar se seus produtos foram explorados em liberdade ou se a empresa tem a capacidade de saber, relata o TechCrunch.
Como os hackers exploraram vulnerabilidades
Os bugs foram descobertos em duas bibliotecas comuns de código aberto, webp e libvpx. Essas bibliotecas são amplamente integradas a navegadores, aplicativos e telefones para processar imagens e vídeos. Essas bibliotecas são usadas por diversas empresas de tecnologia, fabricantes de telefones e desenvolvedores de aplicativos. Depois que pesquisadores de segurança alertaram que erros eram usados para plantar spyware, essas empresas também se apressaram em atualizar as bibliotecas vulneráveis em seus produtos.
Em setembro, pesquisadores de segurança do Citizen Lab disseram ter descoberto evidências de que os clientes do Grupo NSO que usavam o spyware Pegasus da empresa exploraram uma vulnerabilidade encontrada no software de um software atualizado e totalmente corrigido. Iphone.
Mais tarde, os pesquisadores de segurança do Google disseram que encontraram outra vulnerabilidade. Esta falha de segurança estava presente na biblioteca libvpx. A empresa disse que havia sido abusada por um fornecedor comercial de spyware, mas se recusou a identificar o fornecedor.
Por que as grandes empresas de tecnologia correram para consertar o bug
De acordo com os pesquisadores de segurança, o bug na biblioteca webp vulnerável que a Apple integra em seus produtos foi explorado. A agência também observou que os hackers não exigiram nenhuma interação do proprietário do dispositivo para este ataque. Esses ataques também são chamados de ataque de clique zero. A Apple lançou correções de segurança para iPhones, iPads, Macs e Relógios e observou que o bug pode ter sido explorado por hackers desconhecidos.
O Google usa a biblioteca webp no Chrome e em outros produtos. A empresa também começou a corrigir o bug em setembro para proteger seus usuários contra explorações. O Google também disse que estava ciente da vulnerabilidade que “existe à solta”.
A Mozilla, que opera o navegador Firefox e o cliente de e-mail Thunderbird, também corrigiu o bug em seus aplicativos. A empresa observou que estava ciente de que o bug havia sido explorado em outros produtos.
O Google também lançou uma atualização para corrigir o bug vulnerável do libvpx, que foi posteriormente integrado ao Chrome logo depois.
A Apple lançou recentemente outra atualização de segurança para corrigir o bug libvpx em iPhones e iPads. A atualização também corrige outra vulnerabilidade do kernel que a Apple disse que explorava dispositivos que executavam software anterior ao iOS 16.6.
A exploração de dia zero no libvpx também afetou os produtos da Microsoft. No entanto, o relatório não confirma se os hackers conseguiram explorá-lo contra os usuários dos produtos da empresa.
fim do artigo