Microsoft, üç ürün tarafından kullanılan açık kaynaklı kütüphanelerde iki sıfır günlük güvenlik açıklarını yamalamak için Edge, Teams ve Skype için acil güvenlik güncellemeleri yayınladı.
İlk hata, CVE-2023-4863 olarak izlenen ve etkisi kazalardan keyfi kod yürütmeye kadar değişen WebP Kod Kütüphanesi'nde (LIBWebP) bir yığın tampon taşma zayıflığından kaynaklanan bir kusurdur.
İkincisi (CVE-2023-5217), LIBVPX Video CODEC kütüphanesinin VP8 kodlamasındaki yığın tampon taşma zayıflığından kaynaklanır, bu da uygulama çökmelerine yol açabilir veya başarılı bir şekilde kullanıldıktan sonra keyfi kod yürütülmesine izin verebilir.
LIBWEBP kütüphanesi, Safari, Mozilla Firefox, Microsoft Edge, Opera ve yerel Android Web tarayıcılar gibi modern web tarayıcılarının yanı sıra 1password gibi popüler uygulamalar dahil olmak üzere WebP formatında görüntüleri kodlamak ve kodlamak için çok sayıda proje tarafından kullanılmaktadır. ve sinyal.
LIBVPX, masaüstü video oynatıcı yazılımı ve Netflix, YouTube ve Amazon Prime Video gibi çevrimiçi akış hizmetleri tarafından VP8 ve VP9 video kodlaması ve kod çözme için kullanılır.
Redmond, Pazartesi günü yayınlanan bir Microsoft Güvenlik Müdahale Merkezi danışmanında "Microsoft farkında ve iki açık kaynaklı yazılım güvenlik açığı, CVE-2023-4863 ve CVE-2023-5217 ile ilişkili yamalar yayınladı."
İki güvenlik kusuru yalnızca sınırlı sayıda Microsoft ürününü etkiler, şirket Microsoft Edge, masaüstü için Microsoft ekipleri, masaüstü için Skype ve CVE-2023-4863 ve Microsoft Edge'e karşı CVE-2023-5217'ye karşı WebP görüntü uzantıları ile etkiler.
Microsoft Store, etkilenen tüm WebP görüntü uzantıları kullanıcılarını otomatik olarak günceller. Ancak, Microsoft Store otomatik güncellemeleri devre dışı bırakılırsa güvenlik güncellemesi yüklenmez.
Her iki güvenlik açıkları da bu ayın başlarında açıklandığında vahşi doğada kullanıldığı gibi etiketlendi, ancak bu saldırılar hakkında hiçbir ayrıntı yoktu.
Bununla birlikte, hatalar Apple Güvenlik Mühendisliği ve Mimarisi (SEAR), Google Tehdit Analiz Grubu (TAG) ve Citizen Lab tarafından, hedeflenen casus yazılım saldırılarında sömürülen sıfır günleri bulma ve ifşa etme kaydına sahip son iki araştırma ekibi tarafından rapor edildi. .
CVE-2023-4863'ün vahşi doğada kullanıldığını açıklarken Google, "Kullanıcıların çoğunluğu bir düzeltme ile güncellenene kadar hata ayrıntılarına ve bağlantılarına erişim kısıtlanabilir." Dedi.
Diyerek şöyle devam etti: "Diğer projelerin benzer şekilde bağımlı olduğu, ancak henüz düzeltilmediği üçüncü taraf bir kütüphanede bulunursa, kısıtlamaları da koruyacağız."
Google, libwebp güvenlik açığı için ikinci bir CVE kimliği (CVE-2023-5129) atadı ve siber güvenlik topluluğunda karışıklığa neden olan maksimum bir önem hatası olarak etiketledi.
Bir Google sözcüsü bir yorum talebine cevap vermese de, yeni CVE kimliği daha sonra CVE-2023-4863'ün bir kopyası olduğu için MITER tarafından reddedildi.
GÜNCELLEME: CVE-2023-5217 ile Predator casus yazılım saldırıları arasındaki yanlış bağlantıyı kaldırmak için revize edilmiş makale.
Apple Acil Durum Güncellemesi, iPhone'ları hacklemek için kullanılan yeni sıfır günü düzeltiyor
Atlassian Yamaları Kritik İzdi Saldırılarda Sıralı Gün Sömürüldü
Sony, ABD'deki binlerce kişiyi etkileyen veri ihlalini doğrular
Qualcomm, bilgisayar korsanlarının GPU, DSP sürücülerinde 3 sıfır gün sömürdüğünü söylüyor
Sıfır günlük RCE saldırılarına maruz kalan milyonlarca exim posta sunucusu
Kaynak: Bleeping Computer