Kép forrás: Bryce Durbin/TechCrunch
A Microsoft javításokat adott ki két népszerű nyílt forráskódú könyvtár nulladik napi sebezhetőségeinek kijavítására, amelyek több Microsoft-terméket is érintenek, köztük a Skype-ot, a Teams-t és az Edge böngészőt. A Microsoft azonban nem árulja el, hogy ezt a nulla napot felhasználták-e termékei megcélzására, vagy hogy a vállalat tudta-e bármelyik utat.
A Google és a Citizen Lab kutatói szerint a sérülékenységeket a múlt hónapban fedezték fel – nulla napnak nevezik, mert a fejlesztőknek nem volt előzetes értesítésük a hibák kijavításáról –, és mindkét sebezhetőséget aktívan kihasználták egyének kémprogramokkal való megcélzására.
A hibákat két népszerű nyílt forráskódú könyvtárban fedezték fel, a webp-ben és a libvpx-ben, amelyek széles körben integrálva vannak böngészőkbe, alkalmazásokba és telefonokba a képek és videók feldolgozására. Ezeknek a könyvtáraknak mindenütt jelenléte, valamint a biztonsági kutatók arra való figyelmeztetése, hogy a hibákat visszaélhetik kémprogramok telepítésére, a technológiai cégek, telefongyártók és alkalmazásfejlesztők rohanásához vezetett, hogy frissítsék termékeik sebezhető könyvtárait.
ban ben Összefoglaló nyilatkozat A Microsoft hétfőn közölte, hogy javításokat vezetett be a termékeibe integrált webp- és libvpx-könyvtárak két sebezhetőségére, és elismerte, hogy vannak… mindkettő Gyengeségek.
Amikor megkeresték, a Microsoft szóvivője nem volt hajlandó megmondani, hogy termékeit közvetlenül kihasználták-e, vagy hogy a cég képes volt-e tudni.
A Citizen Lab biztonsági kutatói szeptember elején azt mondták, hogy igen Bizonyítékokat fedeztek fel Az NSO Group ügynökei a cég Pegasus spyware-jét használva kihasználtak egy frissített és teljesen javított iPhone szoftverben talált sebezhetőséget.
A Citizen Lab szerint az Apple által a termékeibe integrált sebezhető webp-könyvtár hibáját az eszköz tulajdonosának beavatkozása nélkül használták ki, úgynevezett nulla kattintásos támadást. alma Bevezetett biztonsági reformok iPhone, iPad, Mac és órák számára, és elismerte, hogy a hibát ismeretlen hackerek használhatták ki.
A Google a webp könyvtárra támaszkodik a Chrome-ban és más termékekben is A hibajavítás megkezdődött szeptember elején, hogy megvédje felhasználóit egy olyan visszaéléstől, amelyről a Google tudatában van, hogy „a vadonban létezik”. Mozilla, amely a Firefox böngészőt és a Thunderbird levelezőklienst is készíti Hiba javítva Alkalmazásaiban megjegyezte, hogy a Mozilla tudatában volt a más termékekben kihasznált sebezhetőségnek.
A hónap későbbi szakaszában a Google biztonsági kutatói újabb sebezhetőséget fedeztek fel, ezúttal a libvpx könyvtárban, amelyről a Google azt mondta… Bántalmazták őket Egy kereskedelmi kémprogram-szállítótól, amelyet a Google nem volt hajlandó megnevezni. A Google nem sokkal később kiadott egy frissítést a Chrome gyenge libvpx beépített hibájának kijavítására.
Az Apple kiadta a Biztonsági frissítés szerdán, hogy kijavítsák a libvpx-hibát az iPhone-okon és iPadeken, valamint egy másik kernel-sebezhetőséget, amely az Apple szerint az iOS 16.6-nál régebbi szoftvereket futtató eszközöket használja ki.
Mint kiderült, a libvpx nulla összegű sebezhetősége a Microsoft termékeit is érintette, bár még mindig nem tudni, hogy a hackerek képesek lennének-e kihasználni azt a Microsoft-termékek felhasználói ellen.

Imre Kertész az Androbit szerzője, aki hírekkel, politikával, üzleti témákkal, technológiával, sporttal, szórakozással és életmóddal foglalkozik. Célja, hogy közérthető, hasznos és megbízható információkkal segítse az olvasókat az aktuális események és fontos témák követésében.

More Stories
A RedMagic hivatalosan is megerősítette új csúcskategóriás OLED gamer táblagépének globális érkezését
A OnePlus új részleteket árult el a kedvező árú Turbo 6X Pro okostelefonról
A Lenovo kedvezőbb árú, 16 hüvelykes ThinkPadet mutatott be Panther Lake processzorral és akár 32 GB RAM-mal