A Microsoft nem árulja el, hogy a kémprogramok kihasználták-e termékeit

Kép forrás: Bryce Durbin/TechCrunch

A Microsoft javításokat adott ki két népszerű nyílt forráskódú könyvtár nulladik napi sebezhetőségeinek kijavítására, amelyek több Microsoft-terméket is érintenek, köztük a Skype-ot, a Teams-t és az Edge böngészőt. A Microsoft azonban nem árulja el, hogy ezt a nulla napot felhasználták-e termékei megcélzására, vagy hogy a vállalat tudta-e bármelyik utat.

A Google és a Citizen Lab kutatói szerint a sérülékenységeket a múlt hónapban fedezték fel – nulla napnak nevezik, mert a fejlesztőknek nem volt előzetes értesítésük a hibák kijavításáról –, és mindkét sebezhetőséget aktívan kihasználták egyének kémprogramokkal való megcélzására.

A hibákat két népszerű nyílt forráskódú könyvtárban fedezték fel, a webp-ben és a libvpx-ben, amelyek széles körben integrálva vannak böngészőkbe, alkalmazásokba és telefonokba a képek és videók feldolgozására. Ezeknek a könyvtáraknak mindenütt jelenléte, valamint a biztonsági kutatók arra való figyelmeztetése, hogy a hibákat visszaélhetik kémprogramok telepítésére, a technológiai cégek, telefongyártók és alkalmazásfejlesztők rohanásához vezetett, hogy frissítsék termékeik sebezhető könyvtárait.

ban ben Összefoglaló nyilatkozat A Microsoft hétfőn közölte, hogy javításokat vezetett be a termékeibe integrált webp- és libvpx-könyvtárak két sebezhetőségére, és elismerte, hogy vannak… mindkettő Gyengeségek.

Amikor megkeresték, a Microsoft szóvivője nem volt hajlandó megmondani, hogy termékeit közvetlenül kihasználták-e, vagy hogy a cég képes volt-e tudni.

A Citizen Lab biztonsági kutatói szeptember elején azt mondták, hogy igen Bizonyítékokat fedeztek fel Az NSO Group ügynökei a cég Pegasus spyware-jét használva kihasználtak egy frissített és teljesen javított iPhone szoftverben talált sebezhetőséget.

A Citizen Lab szerint az Apple által a termékeibe integrált sebezhető webp-könyvtár hibáját az eszköz tulajdonosának beavatkozása nélkül használták ki, úgynevezett nulla kattintásos támadást. alma Bevezetett biztonsági reformok iPhone, iPad, Mac és órák számára, és elismerte, hogy a hibát ismeretlen hackerek használhatták ki.

A Google a webp könyvtárra támaszkodik a Chrome-ban és más termékekben is A hibajavítás megkezdődött szeptember elején, hogy megvédje felhasználóit egy olyan visszaéléstől, amelyről a Google tudatában van, hogy „a vadonban létezik”. Mozilla, amely a Firefox böngészőt és a Thunderbird levelezőklienst is készíti Hiba javítva Alkalmazásaiban megjegyezte, hogy a Mozilla tudatában volt a más termékekben kihasznált sebezhetőségnek.

A hónap későbbi szakaszában a Google biztonsági kutatói újabb sebezhetőséget fedeztek fel, ezúttal a libvpx könyvtárban, amelyről a Google azt mondta… Bántalmazták őket Egy kereskedelmi kémprogram-szállítótól, amelyet a Google nem volt hajlandó megnevezni. A Google nem sokkal később kiadott egy frissítést a Chrome gyenge libvpx beépített hibájának kijavítására.

Az Apple kiadta a Biztonsági frissítés szerdán, hogy kijavítsák a libvpx-hibát az iPhone-okon és iPadeken, valamint egy másik kernel-sebezhetőséget, amely az Apple szerint az iOS 16.6-nál régebbi szoftvereket futtató eszközöket használja ki.

Mint kiderült, a libvpx nulla összegű sebezhetősége a Microsoft termékeit is érintette, bár még mindig nem tudni, hogy a hackerek képesek lennének-e kihasználni azt a Microsoft-termékek felhasználói ellen.