9VSA23-00911-01 CSIRT informa de parches de Microsoft para vulnerabilidades en libwebp y libvpx
El CSIRT de Gobierno comparte información de actualizaciones de seguridad de emergencia publicados por Microsoft para parchar sus productos contra una vulnerabilidad que ataca a libwebp, y otra que afecta a libvpx.
Resumen
El CSIRT de Gobierno comparte información de actualizaciones de seguridad de emergencia publicados por Microsoft para parchar sus productos contra una vulnerabilidad que ataca a libwebp, y otra que afecta a libvpx.
Vulnerabilidades
CVE-2023-4863
CVE-2023-5217
Impacto
Vulnerabilidades de riesgo alto
CVE-2023-4863: Vulnerabilidad causada por un desbordamiento de buffer en lotes en biblioteca de códigos WebP (libwebp), que podría llevar a programas a colgarse y permitir ejecución arbitraria de código.
CVE-2023-5217: Vulnerabilidad causada por un desbordamiento de buffer en lotes en la codificación de VP8 de la biblioteca de codecs de video libvpx, que podría llevar a programas a colgarse y permitir ejecución arbitraria de código.
Mitigación
Instalar las respectivas actualizaciones entregadas por el proveedor.
Productos afectados
Microsoft Edge
Microsoft Teams for Desktop
Skype for Desktop
Webp Image Extensions (Released on Windows and updates through Microsoft Store)
Enlaces
https://msrc.microsoft.com/blog/2023/10/microsofts-response-to-open-source-vulnerabilities-cve-2023-4863-and-cve-2023-5217/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-4863
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-5217
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00911-01.