Новости Microsoft выпустила экстренное обновление Skype и Edge, спасающее от шпионского ПО

NewsMaker

I'm just a script
Премиум
13,844
20
8 Ноя 2022
Специалисты тщательно скрывают, как уязвимости нулевого дня Microsoft используются в атаках.


c0k5b2xhzcgqj0gy77kx174rc8gov4v6.jpg


Microsoft выпустила Для просмотра ссылки Войди или Зарегистрируйся для Edge , Teams и Skype для устранения двух уязвимостей нулевого дня (0day) в открытых библиотеках, используемых продуктами.

  • Уязвимость переполнения буфера кучи Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 8.8) в библиотеке кода WebP (libwebp), воздействие которой варьируется от сбоев до произвольного выполнения кода;
  • Уязвимость переполнения буфера кучи Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 8.8) в кодировке VP8 библиотеки видеокодека libvpx от Google приводит к сбоям приложений или произвольному выполнению кода после эксплуатации. Отмечается, что ошибка использовалась для установки шпионского ПО.

Библиотека libwebp используется большим количеством проектов для кодирования и декодирования изображений в формате WebP, включая современные веб-браузеры, такие как Safari , Mozilla Firefox, Microsoft Edge, Opera и встроенные веб-браузеры Android , а также популярные приложения, такие как 1Password и Signal .

Libvpx используется для кодирования и декодирования видео в форматах VP8 и VP9 в программном обеспечении для настольных видеоплееров и онлайн-сервисах потокового воспроизведения, таких как Netflix, YouTube и Amazon Prime Video.

Два недостатка затрагивают лишь ограниченное количество продуктов Microsoft, компания устранила уязвимости в Microsoft Edge, Microsoft Teams, Skype и расширение изображений Webp. Магазин Microsoft Store автоматически установит обновления для всех затронутых пользователей расширений изображений Webp. Однако обновление безопасности не будет установлено, если автоматические обновления Microsoft Store отключены.

Ошибки были обнаружены специалистами Apple Security Engineering and Architecture (SEAR), Google Threat Analysis Group (TAG) и Citizen Lab. Обе уязвимости были помечены как эксплуатируемые в реальных условиях, хотя подробности об атаках не сообщаются. Как заявили в Google, доступ к подробностям об ошибках и ссылкам может быть ограничен до тех пор, пока большинство пользователей не получат исправления

Напомним, что ошибка CVE-2023-4863 Для просмотра ссылки Войди или Зарегистрируйся . Сначала компания отнесла случай к ошибкам Chrome, но затем присвоила ошибке другой идентификатор (CVE-2023-5129) и уровень опасности 10/10, обозначив недостаток как критическую угрозу безопасности в библиотеке libwebp.

Согласно заявлению Google, компания осведомлена о том, что CVE-2023-5217 активно эксплуатируется в реальных условиях. Данная Для просмотра ссылки Войди или Зарегистрируйся в версии Google Chrome 117.0.5938.132 для Windows , Mac и Linux. Помимо обновления, браузер будет автоматически проверять наличие новых версий и устанавливать их после следующего запуска, чтобы все пользователи получили обновление.
 
Источник новости
www.securitylab.ru

Похожие темы