Microsoft, üç ürün tarafından kullanılan açık kaynak kitaplıklardaki iki sıfır gün güvenlik açığını düzeltmek amacıyla Edge, Teams ve Skype için acil güvenlik güncellemeleri yayınladı.
İlk hata, CVE-2023-4863 olarak izlenen ve WebP kod kitaplığındaki (libwebp) yığın arabellek taşması zayıflığından kaynaklanan ve etkisi çökmelerden rastgele kod yürütmeye kadar değişen bir kusurdur.
İkincisine (CVE-2023-5217) ayrıca libvpx video codec kitaplığının VP8 kodlamasındaki yığın arabellek taşması zayıflığı neden oluyor; bu durum, uygulamanın çökmesine neden olabilir veya başarılı bir kullanımın ardından rastgele kod yürütülmesine izin verebilir.
Libwebp kütüphanesi, Safari, Mozilla Firefox, Microsoft Edge, Opera gibi modern web tarayıcıları ve yerel Android web tarayıcılarının yanı sıra 1Password gibi popüler uygulamalar da dahil olmak üzere görüntüleri WebP formatında kodlamak ve kod çözmek için çok sayıda proje tarafından kullanılır. ve Sinyal.
libvpx, masaüstü video oynatıcı yazılımı ve Netflix, YouTube ve Amazon Prime Video gibi çevrimiçi akış hizmetleri tarafından VP8 ve VP9 video kodlama ve kod çözme için kullanılır.
Redmond, Pazartesi günü yayınlanan bir Microsoft Güvenlik Yanıt Merkezi tavsiyesinde “Microsoft, CVE-2023-4863 ve CVE-2023-5217 adlı iki Açık Kaynak Yazılım güvenlik açığının farkındadır ve bunlarla ilgili yamalar yayınlamıştır” dedi.
İki güvenlik açığı yalnızca sınırlı sayıda Microsoft ürününü etkiliyor; şirket Microsoft Edge, Masaüstü için Microsoft Teams, Masaüstü için Skype ve Webp Görüntü Uzantılarını CVE-2023-4863’e ve Microsoft Edge’i CVE-2023-5217’ye karşı yamalıyor.
Microsoft Mağazası, etkilenen tüm Webp Resim Uzantıları kullanıcılarını otomatik olarak güncelleyecektir. Ancak Microsoft Store otomatik güncellemeleri devre dışı bırakılırsa güvenlik güncellemesi yüklenmeyecektir.
Casus yazılım saldırılarında istismar edildi
Bu ayın başlarında açıklandığında her iki güvenlik açığı da vahşi ortamda istismar edildi olarak etiketlendi. WebP kusurunu hedef alan saldırılar hakkında herhangi bir bilgi olmasa da, Google Tehdit Analiz Grubu (TAG) ve Citizen Lab araştırmacıları, saldırganların Cytrox’un Predator casus yazılımını dağıtmak için CVE-2023-5217 kullandığını ortaya çıkardı.
Google, CVE-2023-4863’ün vahşi ortamda istismar edildiğini ilk kez açıkladığında “Hata ayrıntılarına ve bağlantılara erişim, kullanıcıların çoğunluğu bir düzeltmeyle güncellenene kadar sınırlı tutulabilir” dedi.
“Ayrıca, hatanın diğer projelerin benzer şekilde bağlı olduğu ancak henüz düzeltilmediği bir üçüncü taraf kütüphanesinde mevcut olması durumunda da kısıtlamaları koruyacağız.”
CVE-2023-4863 saldırılarına ilişkin herhangi bir ayrıntı bulunmamasına rağmen, hata Apple Güvenlik Mühendisliği ve Mimarisi (SEAR) ve hedefli casus yazılım saldırılarında istismar edilen sıfır günleri bulma ve ifşa etme konusunda kanıtlanmış bir kaydı olan Citizen Lab tarafından rapor edildi. .
Google, libwebp güvenlik açığına ikinci bir CVE kimliği (CVE-2023-5129) atadı ve bunu maksimum önem derecesine sahip bir hata olarak etiketledi, bu da siber güvenlik topluluğunda kafa karışıklığına neden oldu.
Bir Google sözcüsü yorum talebine yanıt vermezken, yeni CVE kimliği daha sonra CVE-2023-4863’ün kopyası olduğu gerekçesiyle MITRE tarafından reddedildi.