Компания Microsoft выпустила экстренные обновления безопасности для Edge, Teams и Skype, устраняющие две уязвимости нулевого дня в библиотеках с открытым исходным кодом, используемых в этих трех продуктах.
Первая ошибка - дефект, отслеживаемый как CVE-2023-4863 и вызванный переполнением буфера кучи в библиотеке кода WebP (libwebp), влияние которого варьируется от сбоев до выполнения произвольного кода.
Второй (CVE-2023-5217) также вызван слабостью переполнения буфера кучи в кодировании VP8 библиотеки видеокодеков libvpx, что может привести к аварийному завершению работы приложения или позволить выполнить произвольный код после успешной эксплуатации.
Библиотека libwebp используется во многих проектах для кодирования и декодирования изображений в формате WebP, включая современные веб-браузеры Safari, Mozilla Firefox, Microsoft Edge, Opera, собственные веб-браузеры Android, а также такие популярные приложения, как 1Password и Signal.
libvpx используется для кодирования и декодирования видео в форматах VP8 и VP9 в программах видеоплееров для настольных компьютеров и сервисах потокового вещания в Интернете, таких как Netflix, YouTube и Amazon Prime Video.
"Компания Microsoft осведомлена и выпустила исправления, связанные с двумя уязвимостями в ПО с открытым исходным кодом - CVE-2023-4863 и CVE-2023-5217", - говорится в опубликованном в понедельник сообщении Microsoft Security Response Center.
Эти две уязвимости затрагивают лишь ограниченное число продуктов Microsoft: Microsoft Edge, Microsoft Teams for Desktop, Skype for Desktop и Webp Image Extensions защищены от CVE-2023-4863, а Microsoft Edge - от CVE-2023-5217.
Магазин Microsoft Store автоматически обновит всех затронутых пользователей Webp Image Extensions. Однако обновление безопасности не будет установлено, если автоматическое обновление Microsoft Store отключено.
Эксплуатируются в шпионских атаках
Обе уязвимости были отмечены как эксплуатируемые в дикой природе, когда о них стало известно в начале этого месяца, хотя никаких подробностей об этих атаках нет.
Однако об этих ошибках сообщили специалисты Apple Security Engineering and Architecture (SEAR), Google Threat Analysis Group (TAG) и Citizen Lab - две последние исследовательские группы, имеющие большой опыт поиска и раскрытия "нулевых дней", используемых в целевых шпионских атаках.
"Доступ к информации об ошибке и ссылкам на нее может быть ограничен до тех пор, пока большинство пользователей не получат исправление", - заявила компания Google, обнаружив, что ошибка CVE-2023-4863 была использована в дикой природе.
"Мы также сохраним ограничения, если ошибка существует в библиотеке стороннего производителя, от которой аналогичным образом зависят другие проекты, но еще не исправлены".
Google присвоила уязвимости libwebp второй идентификатор CVE (CVE-2023-5129), обозначив ее как ошибку максимальной степени серьезности, что вызвало недоумение в сообществе кибербезопасности.
Хотя представитель Google не ответил на просьбу прокомментировать ситуацию, новый CVE ID был позже отклонен MITRE как дублирующий CVE-2023-4863.
Обновление: В статье удалена некорректная связь между CVE-2023-5217 и атаками шпионского ПО Predator.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!