In einem Blogbeitrag erklärte Microsoft, dass es Fixes zur Behebung der beiden Schwachstellen in den Webp- und Libvpx-Bibliotheken eingeführt habe, die es in seine Produkte integriert hatte. Das Unternehmen räumte außerdem ein, dass Exploits für beide Schwachstellen existieren. Microsoft lehnte es jedoch ab, sich dazu zu äußern, ob seine Produkte in freier Wildbahn ausgenutzt wurden oder ob das Unternehmen die Möglichkeit dazu hat, dies zu wissen, berichtet Tech.Warum Tech-Majors sich beeilten, den Fehler zu beheben
Laut den Sicherheitsforschern liegt der Fehler in der anfälligen WebP-Bibliothek Apfel in seine Produkte integriert wurde ausgenutzt. Die Behörde stellte außerdem fest, dass Hacker für diesen Angriff keine Interaktion vom Gerätebesitzer benötigten. Solche Angriffe werden auch Zero-Click-Angriffe genannt. Apple hat Sicherheitsupdates für iPhones, iPads, Macs und Uhren eingeführt und festgestellt, dass der Fehler möglicherweise von unbekannten Hackern ausgenutzt wurde.Google verwendet die WebP-Bibliothek in Chrome und anderen Produkten. Das Unternehmen begann außerdem im September mit dem Patchen des Fehlers, um seine Benutzer vor einem Exploit zu schützen. Google gab außerdem an, sich der Sicherheitslücke bewusst zu sein, die „in freier Wildbahn“ besteht. Mozilla, das den Firefox-Browser und den E-Mail-Client Thunderbird betreibt, hat den Fehler ebenfalls in seinen Apps behoben. Das Unternehmen gab an, dass ihm bekannt sei, dass der Fehler auch in anderen Produkten ausgenutzt worden sei.
Google hat außerdem ein Update herausgebracht, um den anfälligen libvpx-Fehler zu beheben, der kurz darauf in Chrome integriert wurde.Apple hat kürzlich ein weiteres Sicherheitsupdate veröffentlicht, um den libvpx-Fehler in iPhones und iPads zu beheben. Das Update behebt außerdem eine weitere Kernel-Schwachstelle, die laut Apple Geräte ausnutzte, auf denen Software vor iOS 16.6 ausgeführt wurde.Der Zero-Day-Exploit in libvpx betraf auch Microsoft-Produkte. Der Bericht bestätigt jedoch nicht, ob Hacker es gegen Benutzer der Produkte des Unternehmens ausnutzen konnten.Wie Hacker Schwachstellen ausnutzen
Die Fehler wurden in zwei gängigen Open-Source-Bibliotheken entdeckt, webp und libvpx. Diese Bibliotheken sind weithin in Browser, Apps und Telefone integriert, um Bilder und Videos zu verarbeiten. Diese Bibliotheken werden von mehreren Technologieunternehmen, Telefonherstellern und App-Entwicklern verwendet. Nachdem Sicherheitsforscher davor gewarnt hatten, dass Fehler zum Einschleusen von Spyware missbraucht würden, beeilten sich auch diese Unternehmen, die anfälligen Bibliotheken in ihren Produkten zu aktualisieren.Im September sagten Sicherheitsforscher von Citizen Lab, sie hätten Beweise dafür gefunden, dass Kunden der NSO Group, die die Pegasus-Spyware des Unternehmens verwendeten, eine Schwachstelle in der Software eines aktuellen und vollständig gepatchten iPhone ausgenutzt hätten.Später gaben die Sicherheitsforscher von Google an, dass sie eine weitere Schwachstelle gefunden hätten. Diese Sicherheitslücke war in der libvpx-Bibliothek vorhanden. Das Unternehmen gab an, von einem kommerziellen Spyware-Anbieter missbraucht worden zu sein, lehnte es jedoch ab, den Namen des Anbieters zu nennen.
Ende des Artikels