Microsoft выпустила экстренные обновления безопасности для Edge, Teams и Skype для устранения двух уязвимостей нулевого дня (0day) в открытых библиотеках, используемых продуктами.
- Уязвимость переполнения буфера кучи CVE-2023-4863 (CVSS: 8.8) в библиотеке кода WebP (libwebp), воздействие которой варьируется от сбоев до произвольного выполнения кода;
- Уязвимость переполнения буфера кучи CVE-2023-5217 (CVSS: 8.8) в кодировке VP8 библиотеки видеокодека libvpx от Google приводит к сбоям приложений или произвольному выполнению кода после эксплуатации. Отмечается, что ошибка использовалась для установки шпионского ПО.
Библиотека libwebp используется большим количеством проектов для кодирования и декодирования изображений в формате WebP, включая современные веб-браузеры, такие как Safari, Mozilla Firefox, Microsoft Edge, Opera и встроенные веб-браузеры Android, а также популярные приложения, такие как 1Password и Signal.
Libvpx используется для кодирования и декодирования видео в форматах VP8 и VP9 в программном обеспечении для настольных видеоплееров и онлайн-сервисах потокового воспроизведения, таких как Netflix, YouTube и Amazon Prime Video.
Два недостатка затрагивают лишь ограниченное количество продуктов Microsoft, компания устранила уязвимости в Microsoft Edge, Microsoft Teams, Skype и расширение изображений Webp. Магазин Microsoft Store автоматически установит обновления для всех затронутых пользователей расширений изображений Webp. Однако обновление безопасности не будет установлено, если автоматические обновления Microsoft Store отключены.
Ошибки были обнаружены специалистами Apple Security Engineering and Architecture (SEAR), Google Threat Analysis Group (TAG) и Citizen Lab. Обе уязвимости были помечены как эксплуатируемые в реальных условиях, хотя подробности об атаках не сообщаются. Как заявили в Google, доступ к подробностям об ошибках и ссылкам может быть ограничен до тех пор, пока большинство пользователей не получат исправления
Напомним, что ошибка CVE-2023-4863 была исправлена Google в конце сентября . Сначала компания отнесла случай к ошибкам Chrome, но затем присвоила ошибке другой идентификатор (CVE-2023-5129) и уровень опасности 10/10, обозначив недостаток как критическую угрозу безопасности в библиотеке libwebp.
Согласно заявлению Google, компания осведомлена о том, что CVE-2023-5217 активно эксплуатируется в реальных условиях. Данная уязвимость была исправлена в версии Google Chrome 117.0.5938.132 для Windows, Mac и Linux. Помимо обновления, браузер будет автоматически проверять наличие новых версий и устанавливать их после следующего запуска, чтобы все пользователи получили обновление.