Microsoft hat Patches veröffentlicht, um Zero-Day-Schwachstellen in zwei beliebten Open-Source-Bibliotheken zu beheben, die mehrere Microsoft-Produkte betreffen, darunter Skype, Teams und den Edge-Browser. Aber Microsoft wird nicht sagen, ob diese Zero-Days ausgenutzt wurden, um seine Produkte ins Visier zu nehmen, oder ob das Unternehmen das eine oder andere weiß.
Die beiden Schwachstellen – bekannt als Zero-Days, da die Entwickler keine Vorankündigung hatten, um die Fehler zu beheben – wurden letzten Monat entdeckt und beide Fehler wurden laut Forschern von Google und Citizen Lab aktiv ausgenutzt, um Einzelpersonen mit Spyware anzugreifen.
Die Fehler wurden in zwei gängigen Open-Source-Bibliotheken, webp und libvpx, entdeckt, die weithin in Browser, Apps und Telefone integriert sind, um Bilder und Videos zu verarbeiten. Die Allgegenwärtigkeit dieser Bibliotheken und die Warnung von Sicherheitsforschern, dass die Fehler zum Einschleusen von Spyware missbraucht wurden, führten dazu, dass Technologieunternehmen, Telefonhersteller und App-Entwickler die anfälligen Bibliotheken in ihren Produkten eilig aktualisierten.
In einem kurze Stellungnahme Am Montag teilte Microsoft mit, dass es Korrekturen zur Behebung der beiden Schwachstellen in den Webp- und Libvpx-Bibliotheken eingeführt habe, die es in seine Produkte integriert hatte, und räumte ein, dass dafür Exploits existieren beide Schwachstellen.
Als ein Microsoft-Sprecher um einen Kommentar gebeten wurde, lehnte er es ab, zu sagen, ob seine Produkte in freier Wildbahn ausgenutzt wurden oder ob das Unternehmen die Möglichkeit dazu hätte.
Sicherheitsforscher von Citizen Lab sagten Anfang September, dass dies der Fall sei Beweise entdeckt dass Kunden der NSO Group mithilfe der Pegasus-Spyware des Unternehmens eine Schwachstelle in der Software eines aktuellen und vollständig gepatchten iPhone ausgenutzt hatten.
Laut Citizen Lab wurde der Fehler in der anfälligen WebP-Bibliothek, die Apple in seine Produkte integriert, ausgenutzt, ohne dass eine Interaktion des Gerätebesitzers erforderlich war – ein sogenannter Zero-Click-Angriff. Apfel Sicherheitsupdates eingeführt für iPhones, iPads, Macs und Uhren und gab zu, dass der Fehler möglicherweise von unbekannten Hackern ausgenutzt wurde.
Auch Google setzt auf die WebP-Bibliothek in Chrome und anderen Produkten begann, den Fehler zu beheben Anfang September, um ihre Benutzer vor einem Exploit zu schützen, von dem Google nach eigenen Angaben wusste, dass es „in freier Wildbahn existiert“. Mozilla, das auch den Firefox-Browser und den Thunderbird-E-Mail-Client herstellt den Fehler behoben in seinen Apps und stellte fest, dass Mozilla wusste, dass der Fehler in anderen Produkten ausgenutzt wurde.
Später im Monat sagten Google-Sicherheitsforscher, sie hätten eine weitere Schwachstelle gefunden, dieses Mal in der libvpx-Bibliothek, wie Google sagte war missbraucht worden von einem kommerziellen Spyware-Anbieter, dessen Namen Google nicht nennen wollte. Google veröffentlichte kurz darauf ein Update, um den anfälligen libvpx-Fehler zu beheben, der in Chrome integriert war.
Apple hat eine herausgegeben Sicherheitsupdate am Mittwoch, um den libvpx-Fehler in iPhones und iPads zu beheben, zusammen mit einer weiteren Kernel-Schwachstelle, die laut Apple Geräte ausnutzte, auf denen Software vor iOS 16.6 ausgeführt wurde.
Wie sich herausstellte, betraf der Zero-Day in libvpx auch Microsoft-Produkte, obwohl unklar bleibt, ob Hacker ihn gegen Benutzer von Microsoft-Produkten ausnutzen konnten.