Microsoft випустила патчі для усунення вразливостей нульового дня у двох популярних бібліотеках із відкритим вихідним кодом, що зачіпають програмні рішення Skype, Teams і браузер Edge. Компанія не стала розкривати інформацію про те, чи були вразливості використані зловмисниками для атак на користувачів чи ні.
Минулого місяця було виявлено вразливості нульового дня в бібліотеках із відкритим вихідним кодом webp і libvpx, які застосовують для оброблення зображень і відео в браузерах, застосунках і смартфонах. За даними дослідників із Google і Citizen Lab, ці вразливості активно використовувалися зловмисниками для встановлення шпигунського ПЗ на пристрої жертв.
Фахівці з Citizen Lab повідомили, що згідно з їхніми дослідженнями, клієнти ізраїльської компанії NSO Group, що займається розробкою шпигунського ПЗ, використовували софт Pegasus для експлуатації уразливості в ПЗ оновленого iPhone. Особливістю цієї уразливості в бібліотеці webp, інтегрованій Apple, було те, що для її експлуатації не було потрібно взаємодії з власником пристрою (так звана Zero-Click-атака).
Великі технологічні компанії, включно з Google і Mozilla, також вжили заходів для усунення цих вразливостей у своїх продуктах, щоб захистити користувачів від можливих атак. Пізніше дослідники безпеки Google виявили ще одну вразливість, цього разу в бібліотеці libvpx, яку, за їхніми словами, експлуатував комерційний постачальник шпигунського ПЗ, назвати якого Google відмовилася.
Зі свого боку, Apple і Google випустили оновлення безпеки для усунення вразливості libvpx у своїх продуктах. Apple також усунула іншу вразливість у ядрі пристроїв, заявивши, що вразливі пристрої працювали на версіях програмного забезпечення, що передують iOS 16.6.
Як з’ясувалося, вразливість у libvpx також торкнулася продуктів Microsoft. Компанія підтвердила наявність виявлених вразливостей у згаданих бібліотеках і випустила відповідні оновлення. Однак софтверний гігант відмовився коментувати, чи зазнали продукти компанії атак.
Читайте також: