Afbeeldingscredits: Bryce Durbin/TechCrunch
Microsoft heeft patches uitgebracht om zero-day-kwetsbaarheden op te lossen in twee populaire open source-bibliotheken die van invloed zijn op meerdere Microsoft-producten, waaronder Skype, Teams en de Edge-browser. Maar Microsoft wil niet zeggen of die nuldagen zijn gebruikt om zijn producten te targeten, of dat het bedrijf beide kanten op wist.
De kwetsbaarheden werden vorige maand ontdekt – bekend als zero-days omdat ontwikkelaars geen voorafgaande kennisgeving hadden om de bugs op te lossen – en beide kwetsbaarheden zijn actief uitgebuit om individuen met spyware te targeten, aldus onderzoekers van Google en Citizen Lab.
De bugs zijn ontdekt in twee populaire open source-bibliotheken, webp en libvpx, die op grote schaal zijn geïntegreerd in browsers, apps en telefoons om afbeeldingen en video’s te verwerken. De alomtegenwoordigheid van deze bibliotheken, in combinatie met beveiligingsonderzoekers die waarschuwen dat de bugs kunnen worden misbruikt om spyware te installeren, heeft geleid tot een haast bij technologiebedrijven, telefoonfabrikanten en app-ontwikkelaars om kwetsbare bibliotheken in hun producten bij te werken.
in Samenvattende opgave Microsoft zei maandag dat het oplossingen heeft uitgerold om twee kwetsbaarheden in de webp- en libvpx-bibliotheken aan te pakken die het in zijn producten heeft geïntegreerd, en erkende het bestaan van exploits voor… beide Zwakke punten.
Toen een Microsoft-woordvoerder om commentaar werd gevraagd, weigerde hij te zeggen of zijn producten rechtstreeks waren geëxploiteerd, of dat het bedrijf het vermogen had om dit te weten.
Beveiligingsonderzoekers van Citizen Lab zeiden begin september dat dit het geval was Bewijs ontdekt NSO Group-agenten maakten gebruik van de Pegasus-spyware van het bedrijf en maakten misbruik van een kwetsbaarheid in bijgewerkte en volledig gepatchte iPhone-software.
Volgens Citizen Lab werd de fout in een kwetsbare webp-bibliotheek die Apple in zijn producten integreert, uitgebuit zonder dat enige interactie van de eigenaar van het apparaat nodig was, een zogenaamde zero-click-aanval. appel Veiligheidshervormingen geïntroduceerd voor iPhone, iPad, Mac en horloges, en erkende dat de fout mogelijk door onbekende hackers is uitgebuit.
Google vertrouwt ook op de webp-bibliotheek in Chrome en andere producten Bugcorrectie is begonnen begin september om zijn gebruikers te beschermen tegen een exploit waarvan Google naar eigen zeggen op de hoogte was dat deze ‘in het wild bestond’. Mozilla, dat ook de Firefox-browser en de Thunderbird-e-mailclient maakt Bug gecorrigeerd In zijn toepassingen merkte hij op dat Mozilla op de hoogte was van de kwetsbaarheid die in andere producten werd misbruikt.
Later in de maand zeiden beveiligingsonderzoekers van Google dat ze een nieuwe kwetsbaarheid hadden ontdekt, dit keer in de libvpx-bibliotheek, waarvan Google zei… Ze werden misbruikt Door een commerciële spywareleverancier, die Google niet wil noemen. Google heeft kort daarna een update uitgerold om de zwakke ingebouwde libvpx-bug in Chrome te repareren.
Apple heeft een Beveiligingsupdate woensdag om een libvpx-bug op iPhones en iPads te repareren, samen met een andere kernelkwetsbaarheid waarvan Apple zei dat deze apparaten exploiteert waarop software draait die ouder is dan iOS 16.6.
Het bleek dat de zero-sum kwetsbaarheid in libvpx ook Microsoft-producten trof, hoewel het nog steeds onduidelijk is of hackers deze zullen kunnen misbruiken tegen gebruikers van Microsoft-producten.
“Proud coffee guru. Web pioneer. Internet expert. Social media specialist.”