Microsoft, Skype, Teams ve Edge tarayıcısı da dahil olmak üzere çeşitli Microsoft ürünlerini etkileyen iki popüler açık kaynak kitaplığında sıfır gün güvenlik açıklarını düzeltmek için yamalar yayımladı. Ancak Microsoft, bu sıfır günlerin ürünlerini hedeflemek için istismar edilip edilmediğini veya şirketin her iki yolu da bilip bilmediğini söylemiyor.
Geliştiricilerin hataları düzeltmek için önceden bildirimde bulunmaması nedeniyle sıfır gün olarak bilinen iki güvenlik açığı geçen ay keşfedildi ve Google ve Citizen Lab’daki araştırmacılara göre her iki hata da casus yazılımlı bireyleri hedeflemek için aktif olarak kullanıldı.
Hatalar, görüntüleri ve videoları işlemek için tarayıcılara, uygulamalara ve telefonlara geniş ölçüde entegre olan webp ve libvpx adlı iki yaygın açık kaynak kitaplığında keşfedildi. Bu kitaplıkların her yerde bulunması, güvenlik araştırmacılarının hataların casus yazılım yerleştirmek için kötüye kullanıldığı yönündeki uyarısıyla birleştiğinde, teknoloji şirketlerinin, telefon üreticilerinin ve uygulama geliştiricilerinin ürünlerindeki savunmasız kitaplıkları güncelleme konusunda acele etmelerine yol açtı.
İçinde kısa açıklama Pazartesi günü Microsoft, ürünlerine entegre ettiği webp ve libvpx kitaplıklarındaki iki güvenlik açığını gideren düzeltmeler yayınladığını ve bunun için açıkların mevcut olduğunu kabul ettiğini söyledi. ikisi birden güvenlik açıkları.
Yorum yapmak için ulaşıldığında Microsoft sözcüsü, ürünlerinin vahşi ortamda istismar edilip edilmediğini veya şirketin bunu bilme olanağının olup olmadığını söylemeyi reddetti.
Citizen Lab’deki güvenlik araştırmacıları eylül ayının başlarında şunları söyledi: keşfedilen kanıt Şirketin Pegasus casus yazılımını kullanan NSO Grubu müşterilerinin, güncel ve tam yama uygulanmış bir iPhone’un yazılımında bulunan bir güvenlik açığından yararlandığı belirtildi.
Citizen Lab’e göre, Apple’ın ürünlerine entegre ettiği savunmasız webp kütüphanesindeki hata, cihaz sahibinin herhangi bir müdahalesine gerek kalmadan, sıfır tıklama saldırısı olarak adlandırılan bir hatadan yararlanıldı. Elma güvenlik düzeltmeleri kullanıma sunuldu iPhone’lar, iPad’ler, Mac’ler ve Saatler için hatanın bilinmeyen bilgisayar korsanları tarafından kullanılmış olabileceğini kabul etti.
Chrome ve diğer ürünlerdeki webp kitaplığına güvenen Google da hatayı düzeltmeye başladım Google’ın “vahşi ortamda var olduğunun” farkında olduğunu söylediği bir istismardan kullanıcılarını korumak için Eylül ayı başlarında. Firefox tarayıcısını ve Thunderbird e-posta istemcisini yapan Mozilla da hatayı düzeltti Uygulamalarında Mozilla’nın hatanın diğer ürünlerde de istismar edildiğinin farkında olduğunu belirtti.
Ayın ilerleyen saatlerinde Google güvenlik araştırmacıları, bu kez libvpx kütüphanesinde başka bir güvenlik açığı bulduklarını söylediler. istismar edilmişti Google’ın adını vermeyi reddettiği ticari bir casus yazılım satıcısı tarafından. Google, kısa süre sonra Chrome’a entegre edilen savunmasız libvpx hatasını düzeltmek için bir güncelleme yayınladı.
Apple bir yayınladı güvenlik güncellemesi iPhone ve iPad’lerdeki libvpx hatasını ve Apple’ın iOS 16.6’dan önceki yazılımları çalıştıran cihazlardan yararlandığını söylediği başka bir çekirdek güvenlik açığını düzeltmek için Çarşamba günü bir açıklama yapıldı.
Anlaşıldığı üzere, libvpx’teki sıfır gün Microsoft ürünlerini de etkiledi, ancak bilgisayar korsanlarının bunu Microsoft ürünleri kullanıcılarına karşı kullanıp kullanamayacağı belirsizliğini koruyor.
