Η Microsoft δεν θα πει εάν τα προϊόντα της έγιναν αντικείμενο εκμετάλλευσης από spyware zero-days
Η Microsoft κυκλοφόρησε ενημερώσεις κώδικα για τη διόρθωση ευπαθειών zero-day σε δύο δημοφιλείς βιβλιοθήκες ανοιχτού κώδικα που επηρεάζουν αρκετά προϊόντα της Microsoft, συμπεριλαμβανομένων των Skype, Teams και του προγράμματος περιήγησης
Edge
. Ωστόσο, η Microsoft δεν θα πει εάν αυτές οι μηδενικές ημέρες αξιοποιήθηκαν για τη στόχευση των προϊόντων της ή εάν η εταιρεία γνωρίζει τον οποιοδήποτε τρόπο.
Τα δύο τρωτά σημεία – γνωστά ως zero-days από τότε που οι προγραμματιστές δεν είχαν εκ των προτέρων ειδοποίηση για να διορθώσουν τα σφάλματα – ανακαλύφθηκαν τον περασμένο μήνα και και τα δύο σφάλματα έχουν εκμεταλλευτεί ενεργά για τη στόχευση ατόμων με λογισμικό υποκλοπής spyware, σύμφωνα με ερευνητές της
Google
και του Citizen Lab.
Τα σφάλματα ανακαλύφθηκαν σε δύο κοινές βιβλιοθήκες ανοιχτού κώδικα, τις webp και libvpx, οι οποίες είναι ευρέως ενσωματωμένες σε προγράμματα περιήγησης, εφαρμογές και τηλέφωνα για την επεξεργασία εικόνων και βίντεο. Η πανταχού παρουσία αυτών των βιβλιοθηκών σε συνδυασμό με μια προειδοποίηση από ερευνητές ασφαλείας ότι τα σφάλματα καταχράστηκαν για την εγκατάσταση spyware προκάλεσε μια βιασύνη από εταιρείες τεχνολογίας, κατασκευαστές τηλεφώνων και προγραμματιστές εφαρμογών να ενημερώσουν τις ευάλωτες βιβλιοθήκες στα προϊόντα τους.
Σε ένα
σύντομη δήλωση
Τη Δευτέρα, η Microsoft ανακοίνωσε ότι κυκλοφόρησε διορθώσεις που αντιμετωπίζουν τα δύο τρωτά σημεία στις βιβλιοθήκες webp και libvpx που είχε ενσωματώσει στα προϊόντα της και αναγνώρισε ότι υπάρχουν εκμεταλλεύσεις για
και τα δυο
τρωτά σημεία
.
Όταν κλήθηκε να σχολιάσει, ένας εκπρόσωπος της Microsoft αρνήθηκε να πει εάν τα προϊόντα της είχαν γίνει αντικείμενο εκμετάλλευσης στη φύση ή εάν η εταιρεία έχει τη δυνατότητα να γνωρίζει.
Ερευνητές ασφαλείας στο Citizen Lab είπαν στις αρχές Σεπτεμβρίου ότι είχαν
ανακάλυψε στοιχεία
ότι οι πελάτες του Ομίλου NSO, χρησιμοποιώντας το λογισμικό κατασκοπείας
Pegasus
της εταιρείας, είχαν εκμεταλλευτεί μια ευπάθεια που βρέθηκε στο λογισμικό ενός ενημερωμένου και πλήρως επιδιορθωμένου
iPhone
.
Σύμφωνα με το Citizen Lab, το σφάλμα στην ευάλωτη βιβλιοθήκη webp που ενσωματώνει η Apple στα προϊόντα της έγινε αντικείμενο εκμετάλλευσης χωρίς να απαιτείται καμία αλληλεπίδραση από τον κάτοχο της συσκευής – μια λεγόμενη επίθεση μηδενικού κλικ. μήλο
κυκλοφόρησε διορθώσεις ασφαλείας
για iPhone, iPad, Mac και ρολόγια και αναγνώρισε ότι το σφάλμα μπορεί να έχει γίνει αντικείμενο εκμετάλλευσης από άγνωστους χάκερ.
Η Google, η οποία βασίζεται στη βιβλιοθήκη webp στο Chrome και σε άλλα προϊόντα, επίσης
άρχισε να επιδιορθώνει το σφάλμα
στις αρχές Σεπτεμβρίου για να προστατεύσουν τους χρήστες τους από μια εκμετάλλευση που η Google είπε ότι γνώριζε ότι «υπάρχει στη φύση». Το
Mozilla
, το οποίο κάνει το πρόγραμμα περιήγησης Firefox και το πρόγραμμα-πελάτη ηλεκτρονικού ταχυδρομείου Thunderbird, επίσης
μπάλωσε το σφάλμα
στις εφαρμογές της, σημειώνοντας ότι η Mozilla γνώριζε ότι το σφάλμα είχε γίνει αντικείμενο εκμετάλλευσης σε άλλα προϊόντα.
Αργότερα μέσα στον μήνα, οι ερευνητές ασφαλείας της Google είπαν ότι βρήκαν μια άλλη ευπάθεια, αυτή τη φορά στη βιβλιοθήκη libvpx, την οποία είπε η Google
είχε γίνει κατάχρηση
από έναν εμπορικό πωλητή spyware, τον οποίο η Google αρνήθηκε να κατονομάσει. Η Google κυκλοφόρησε μια ενημέρωση για να διορθώσει το ευάλωτο σφάλμα libvpx που ενσωματώθηκε στο Chrome αμέσως μετά.
Η Apple εξέδωσε α
ενημέρωση ασφαλείας
την Τετάρτη για να διορθώσει το σφάλμα libvpx σε iPhone και iPad, μαζί με μια άλλη ευπάθεια του πυρήνα που η Apple είπε ότι εκμεταλλευόταν συσκευές που εκτελούσαν λογισμικό νωρίτερα από το iOS 16.6.
Όπως αποδείχθηκε, το zero-day στο libvpx επηρέασε επίσης τα προϊόντα της Microsoft, αν και παραμένει ασαφές εάν οι χάκερ μπόρεσαν να το εκμεταλλευτούν κατά των χρηστών προϊόντων της Microsoft.