Microsoft Edge, Teams thừa nhận bản sửa lỗi zero-day trong thư viện nguồn mở

Lỗi đầu tiên là một lỗ hổng được theo dõi là CVE-2023-4863 do điểm yếu tràn bộ đệm heap trong thư viện mã WebP (libwebp), có mức độ ảnh hưởng từ sự cố đến việc thực thi mã tùy ý.

Lỗi thứ hai (CVE-2023-5217) cũng là do điểm yếu tràn bộ đệm heap trong mã hóa VP8 của thư viện codec video libvpx, có thể dẫn đến sự cố ứng dụng hoặc cho phép thực thi mã tùy ý sau khi khai thác thành công.

Thư viện libwebp được sử dụng trong nhiều dự án để mã hóa và giải mã hình ảnh ở định dạng WebP, bao gồm các trình duyệt web hiện đại như Safari, Mozilla Firefox, Microsoft Edge, Opera và các trình duyệt web Android gốc cũng như các ứng dụng phổ biến như 1Password và Tín hiệu.

libvpx được sử dụng để mã hóa và giải mã video VP8 và VP9 bằng phần mềm trình phát video trên máy tính để bàn và các dịch vụ phát trực tuyến như Netflix, YouTube và Amazon Prime Video.

“Microsoft đã biết và đã phát hành các bản vá liên quan đến hai lỗ hổng bảo mật Phần mềm nguồn mở là CVE-2023-4863 và CVE-2023-5217,” Redmond tiết lộ trong lời khuyên của Trung tâm phản hồi bảo mật của Microsoft được công bố ngày 2 tháng 10.

Hai lỗ hổng bảo mật chỉ ảnh hưởng đến một số sản phẩm hạn chế của Microsoft, với việc công ty vá Microsoft Edge, Microsoft Teams cho Máy tính để bàn, Skype cho Máy tính để bàn và Tiện ích mở rộng hình ảnh Webp chống lại CVE-2023-4863 và Microsoft Edge chống lại CVE-2023-5217.

Microsoft Store sẽ tự động cập nhật tất cả người dùng Tiện ích mở rộng hình ảnh Webp bị ảnh hưởng. Tuy nhiên, bản cập nhật bảo mật sẽ không được cài đặt nếu tính năng cập nhật tự động của Microsoft Store bị tắt.

Lỗ hổng bị khai thác trong các cuộc tấn công phần mềm gián điệp

Cả hai lỗ hổng đều được gắn thẻ là bị khai thác ngoài tự nhiên khi được tiết lộ vào đầu tháng này, mặc dù không có thông tin chi tiết về các cuộc tấn công này.

Tuy nhiên, các lỗi này đã được Apple Security Engineering and Architecture (SEAR) thông báo, Nhóm phân tích mối đe dọa của Google (TAG) và Citizen Lab là hai nhóm nghiên cứu cuối cùng có thành tích đã được chứng minh trong việc tìm kiếm và tiết lộ các lỗ hổng zero-day bị khai thác trong các cuộc tấn công phần mềm gián điệp có chủ đích. .

“Quyền truy cập vào các chi tiết và liên kết lỗi có thể bị hạn chế cho đến khi phần lớn người dùng được cập nhật bản sửa lỗi”, Google cho biết khi tiết lộ rằng CVE-2023-4863 đã bị khai thác ngoài tự nhiên.

“Chúng tôi cũng sẽ giữ lại các hạn chế nếu lỗi tồn tại trong thư viện của bên thứ ba mà các dự án khác cũng phụ thuộc tương tự nhưng vẫn chưa được sửa.”

Google đã gán ID CVE thứ hai (CVE-2023-5129) cho lỗ hổng bảo mật libwebp, gắn thẻ đây là lỗi có mức độ nghiêm trọng tối đa, gây nhầm lẫn trong cộng đồng an ninh mạng.

Mặc dù người phát ngôn của Google không trả lời yêu cầu bình luận nhưng ID CVE mới sau đó đã bị MITER từ chối vì trùng với CVE-2023-4863.

Cập nhật: Bài viết đã được sửa đổi để xóa liên kết không chính xác giữa các cuộc tấn công phần mềm gián điệp CVE-2023-5217 và Predator.

Nguồn: bleepingcomputer.com