Microsoft випустила екстрене оновлення Skype та Edge
Фахівці ретельно приховують, як уразливість нульового дня Microsoft використовується в атаках.
Microsoft випустила екстрені оновлення безпеки для Edge , Teams та Skype для усунення двох вразливостей нульового дня (0day) у відкритих бібліотеках, які використовуються продуктами.
Вразливість переповнення буфера купи CVE-2023-4863 (CVSS: 8.8) у бібліотеці коду WebP (libwebp), дія якої варіюється від збоїв до довільного виконання коду;
Уразливість переповнення буфера купи CVE-2023-5217 (CVSS: 8.8) у кодуванні VP8 бібліотеки відеокодеку libvpx від Google призводить до збоїв додатків або довільного виконання коду після експлуатації. Зазначається, що помилка використовувалася для встановлення шпигунського програмного забезпечення.
Бібліотека libwebp використовується великою кількістю проектів для кодування та декодування зображень у форматі WebP, включаючи сучасні веб-браузери, такі як Safari , Mozilla Firefox, Microsoft Edge, Opera та вбудовані веб-браузери Android , а також популярні програми, такі як 1Password та Signal .
Libvpx використовується для кодування та декодування відео у форматах VP8 та VP9 у програмному забезпеченні для настільних відеоплеєрів та онлайн-сервісів потокового відтворення, таких як Netflix, YouTube та Amazon Prime Video.
Два недоліки зачіпають лише обмежену кількість продуктів Microsoft, компанія усунула вразливості Microsoft Edge, Microsoft Teams, Skype і розширення зображень Webp. Магазин Microsoft Store автоматично інсталює оновлення для всіх порушених користувачів розширень зображень Webp. Однак оновлення безпеки не буде встановлено, якщо автоматичне оновлення Microsoft Store вимкнено.
Помилки виявили фахівці Apple Security Engineering and Architecture (SEAR), Google Threat Analysis Group (TAG) і Citizen Lab. Обидві вразливості були позначені як експлуатовані в реальних умовах, хоча подробиці атак не повідомляються. Як заявили в Google, доступ до подробиць про помилки та посилання може бути обмежений до тих пір, поки більшість користувачів не отримають виправлення
Нагадаємо, що помилка CVE-2023-4863 була виправлена Google наприкінці вересня . Спочатку компанія віднесла випадок до помилок Chrome, але потім надала помилці інший ідентифікатор (CVE-2023-5129) і рівень небезпеки 10/10, позначивши недолік як критичну загрозу безпеці в бібліотеці libwebp.
Згідно з заявою Google, компанія поінформована про те, що CVE-2023-5217 активно експлуатується у реальних умовах. Ця вразливість була виправленау версії Google Chrome 117.0.5938.132 для Windows , Mac та Linux. Крім оновлення, браузер автоматично перевірятиме наявність нових версій і встановлюватиме їх після наступного запуску, щоб усі користувачі отримали оновлення.