Microsoft ha lanzado recientemente parches para corregir vulnerabilidades en dos populares bibliotecas de código abierto que la compañía utiliza en en muchos de sus productos como Skype, Teams y el navegador de internet Edge. Estas vulnerabilidades podían ser aprovechadas por spyware día-cero para tomar datos de los usuarios que fuesen infectados, y aunque Microsoft ha intentado ser lo más rápida posible cubriendo cualquier grieta en su seguridad, no ha hecho ninguna comunicación al respecto ni dado explicaciones acerca de si estas debilidades han sido explotadas o no. Tampoco se ha hecho ninguna referencia a que la compañía conozca, o no, si el spyware había llegado a entrar en alguna de las aplicaciones. Es lógico, y Sony también se resiste a hacer declaraciones en este mismo sentido.
Unas debilidades terriblemente peligrosas
Ambas vulnerabilidades fueron descubiertas hace cosa de un mes y ambas fueron explotadas a través de programas espía, tal como explican investigadores del Google and Citizen Lab. Estas se encuentran en las bibliotecas webp y libvpx, ambas integradas a través de navegadores, aplicaciones y smartphones de manera que puedan procesar diversos archivos multimedia. Al ser de uso tan extendido estas debilidades comprometían de forma casi integral la seguridad de múltiples aplicaciones y rápidamente se emitió la advertencia para que todo objetivo potencial pusiese en orden sus productos y reforzar la seguridad en ellas.
En un breve comunicado el 2 de octubre Microsoft advirtió públicamente que las vulnerabilidades día-cero han sido corregidas y la capa de seguridad integrada a todos sus productos así como reconoció que, en efecto, esta vulnerabilidad estaba presente en ambas bibliotecas. Sin embargo, cuando el representante de Microsoft fue preguntado acerca de si estas debilidades fueron explotadas y por tanto el sistema atacado, la pregunta fue declinada y dejada sin responder. Hasta cierto punto tendría sentido, ya que alarmar a los usuarios a estas alturas no serviría de nada, pero por el otro resulta de vital importancia para los afectados (de haberlos) saber hasta qué punto su seguridad o su información delicada ha sido comprometida.
