Η Microsoft κυκλοφόρησε έκτακτες ενημερώσεις ασφαλείας για το Edge, το Teams και το Skype, για να επιδιορθώσει δύο zero-day ευπάθειες σε open-source libraries που χρησιμοποιούνται και από τα τρία προϊόντα.
Η πρώτη ευπάθεια (CVE-2023-4863) προκαλείται από heap buffer overflow weakness στο WebP code library (libwebp). Μπορεί να προκαλέσει crashes ή ακόμα και να επιτρέψει εκτέλεση κώδικα.
Το δεύτερο bug (CVE-2023-5217) προκαλείται επίσης από heap buffer overflow weakness στο VP8 encoding του libvpx video codec library. Οδηγεί σε app crashes και επιτρέπει εκτέλεση κώδικα, μετά από επιτυχημένη εκμετάλλευση.
Δείτε επίσης: Exim: Διορθώνει τρεις zero-day ευπάθειες
Το libwebp library χρησιμοποιείται από μεγάλο αριθμό projects για κωδικοποίηση και αποκωδικοποίηση εικόνων σε μορφή WebP. Χρησιμοποιείται, για παράδειγμα, από προγράμματα όπως Safari, Mozilla Firefox, Microsoft Edge, Opera καθώς και από εγγενή προγραμμάτα περιήγησης ιστού Android και δημοφιλείς εφαρμογές, όπως το 1Password και το Signal.
Το libvpx χρησιμοποιείται για VP8 και VP9 video encoding και decoding από desktop λογισμικό αναπαραγωγής βίντεο και από υπηρεσίες streaming όπως το Netflix, το YouTube και το Amazon Prime Video.
Η Microsoft ανακάλυψε τις zero-day ευπάθειες και κυκλοφόρησε έκτακτες ενημερώσεις ασφαλείας.
Δείτε επίσης: Η Progress Software διορθώνει κρίσιμη ευπάθεια στο WS_FTP Server
Οι δύο ευπάθειες επηρεάζουν έναν περιορισμένο αριθμό προϊόντων της Microsoft. Η εταιρεία διόρθωσε το Microsoft Edge, το Microsoft Teams για Desktop, το Skype για Desktop και το Webp Image Extensions έναντι του CVE-2023-4863 και το Microsoft Edge έναντι του CVE-2023-5217.
Το Microsoft Store θα ενημερώσει αυτόματα όλους τους επηρεασμένους χρήστες του Webp Image Extensions. Ωστόσο, η ενημέρωση ασφαλείας δεν θα εγκατασταθεί εάν οι αυτόματες ενημερώσεις του Microsoft Store είναι απενεργοποιημένες.
Χρήση ευπαθειών σε επιθέσεις spyware
Και οι δύο ευπάθειες φαίνεται πως έχουν χρησιμοποιηθεί από hackers. Ερευνητές της Ομάδας Ανάλυσης Απειλών της Google (TAG) και του Citizen Lab αποκάλυψαν ότι οι κακόβουλοι χρήστες χρησιμοποίησαν τη zero-day ευπάθεια CVE-2023-5217 για να αναπτύξουν το λογισμικό κατασκοπείας Predator της Cytrox.
Δείτε επίσης: Google: Διορθώνει το πέμπτο Chrome zero-day για φέτος
Όσον αφορά στο CVE-2023-4863, η Google είχε πει όταν το ανακάλυψε πρώτη φορά: “Η πρόσβαση σε λεπτομέρειες σφαλμάτων και συνδέσμους μπορεί να παραμείνει περιορισμένη έως ότου η πλειονότητα των χρηστών λάβει την επιδιόρθωση“.
“Θα διατηρήσουμε επίσης περιορισμούς εάν το σφάλμα υπάρχει σε μια βιβλιοθήκη τρίτου μέρους από την οποία εξαρτώνται παρομοίως άλλα έργα, αλλά δεν έχουν ακόμη επιδιορθωθεί“.
Παρόλο που δεν υπάρχουν λεπτομέρειες για τις επιθέσεις που εκμεταλλεύονται την ευπάθεια CVE-2023-4863, το σφάλμα αναφέρθηκε από την Apple Security Engineering and Architecture (SEAR) και το Citizen Lab, για στοχευμένες επιθέσεις spyware.
Οι έκτακτες ενημερώσεις ασφαλείας που κυκλοφόρησε η Microsoft είναι κρίσιμης σημασίας για τη διατήρηση της ασφάλειας των συστημάτων. Είναι σημαντικό για τους χρήστες να εφαρμόζουν αυτές τις ενημερώσεις άμεσα για να ελαχιστοποιήσουν τον κίνδυνο μόλυνσης με κάποιο κακόβουλο λογισμικό.
Πηγή: www.bleepingcomputer.com