Η Microsoft κυκλοφόρησε ενημερώσεις ασφαλείας έκτακτης ανάγκης για το Edge, το Teams και το Skype για να επιδιορθώσει δύο ευπάθειες zero-day σε βιβλιοθήκες ανοιχτού κώδικα που χρησιμοποιούνται από τα τρία προϊόντα.
Το πρώτο σφάλμα είναι ένα ελάττωμα που παρακολουθείται ως
CVE-2023-4863
και προκαλείται από α
υπερχείλιση buffer σωρού
αδυναμία στη βιβλιοθήκη κώδικα WebP (libwebp), της οποίας ο αντίκτυπος κυμαίνεται από σφάλματα έως αυθαίρετη εκτέλεση κώδικα.
Το δεύτερο (
CVE-2023-5217
) προκαλείται επίσης από αδυναμία υπερχείλισης του buffer σωρού στην κωδικοποίηση VP8 της βιβλιοθήκης κωδικοποιητών βίντεο libvpx, η οποία θα μπορούσε να οδηγήσει σε σφάλματα εφαρμογής ή να επιτρέψει την αυθαίρετη εκτέλεση κώδικα μετά από επιτυχή εκμετάλλευση.
Η βιβλιοθήκη libwebp χρησιμοποιείται από μεγάλο αριθμό έργων για κωδικοποίηση και αποκωδικοποίηση εικόνων σε μορφή WebP, συμπεριλαμβανομένων σύγχρονων προγραμμάτων περιήγησης ιστού όπως Safari, Mozilla Firefox, Microsoft Edge, Opera και των εγγενών προγραμμάτων περιήγησης ιστού Android, καθώς και δημοφιλών εφαρμογών όπως
1 Κωδικός πρόσβασης
και
Σήμα
.
Το libvpx χρησιμοποιείται για κωδικοποίηση και αποκωδικοποίηση βίντεο VP8 και VP9 από λογισμικό αναπαραγωγής βίντεο επιτραπέζιου υπολογιστή και υπηρεσίες διαδικτυακής ροής όπως το Netflix, το YouTube και το Amazon Prime Video.
“Η Microsoft γνωρίζει και έχει κυκλοφορήσει ενημερώσεις κώδικα που σχετίζονται με τις δύο ευπάθειες ασφαλείας Λογισμικού Ανοιχτού Κώδικα, CVE-2023-4863 και CVE-2023-5217.”
αποκάλυψε ο Ρέντμοντ
σε μια συμβουλή του Κέντρου απόκρισης ασφαλείας της Microsoft που δημοσιεύτηκε τη Δευτέρα.
Τα δύο ελαττώματα ασφαλείας επηρεάζουν μόνο έναν περιορισμένο αριθμό προϊόντων της Microsoft, με την εταιρεία να διορθώνει το Microsoft Edge, το Microsoft Teams για Desktop, το Skype για Desktop και το Webp Image Extensions έναντι του CVE-2023-4863 και του Microsoft Edge έναντι του CVE-2023-5217.
Το Microsoft Store θα ενημερώσει αυτόματα όλους τους επηρεασμένους χρήστες των Επεκτάσεων εικόνας Webp. Ωστόσο, η ενημέρωση ασφαλείας δεν θα εγκατασταθεί εάν οι αυτόματες ενημερώσεις του Microsoft Store είναι απενεργοποιημένες.
Εκμεταλλεύεται σε επιθέσεις spyware
Και οι δύο ευπάθειες επισημάνθηκαν ως εκμεταλλευόμενες στη φύση όταν αποκαλύφθηκαν νωρίτερα αυτόν τον μήνα, αν και δεν υπάρχουν λεπτομέρειες για αυτές τις επιθέσεις.
Ωστόσο, τα σφάλματα αναφέρθηκαν από την Apple Security Engineering and Architecture (SEAR), την Google Threat Analysis Group (TAG) και το Citizen Lab, τις δύο τελευταίες ερευνητικές ομάδες με αποδεδειγμένο ιστορικό εύρεσης και αποκάλυψης μηδενικών ημερών που χρησιμοποιήθηκαν σε στοχευμένες επιθέσεις spyware .
“Η πρόσβαση σε λεπτομέρειες σφαλμάτων και συνδέσμους μπορεί να παραμείνει περιορισμένη έως ότου η πλειονότητα των χρηστών ενημερωθεί με μια επιδιόρθωση”, δήλωσε η Google όταν αποκάλυψε ότι το CVE-2023-4863 έχει γίνει αντικείμενο εκμετάλλευσης στη φύση.
“Θα διατηρήσουμε επίσης περιορισμούς εάν το σφάλμα υπάρχει σε μια βιβλιοθήκη τρίτου μέρους από την οποία εξαρτώνται παρομοίως άλλα έργα, αλλά δεν έχουν ακόμη επιδιορθωθεί.”
Η Google εκχώρησε ένα δεύτερο αναγνωριστικό CVE (CVE-2023-5129) στο θέμα ευπάθειας ασφαλείας libwebp, επισημαίνοντάς το ως σφάλμα μέγιστης σοβαρότητας, το οποίο προκάλεσε σύγχυση στην κοινότητα της κυβερνοασφάλειας.
Ενώ ένας εκπρόσωπος της Google δεν απάντησε σε αίτημα για σχολιασμό, το νέο αναγνωριστικό CVE ήταν αργότερα
απορρίφθηκε
από τη MITER επειδή είναι αντίγραφο του CVE-2023-4863.
Εκσυγχρονίζω:
Αναθεωρημένο άρθρο για την κατάργηση της εσφαλμένης σύνδεσης μεταξύ CVE-2023-5217 και επιθέσεων spyware Predator.
