Microsoft heeft patches uitgebracht om zero-day-kwetsbaarheden in twee populaire open source-bibliotheken te verhelpen

Microsoft heeft patches uitgebracht om zero-day-kwetsbaarheden op te lossen in twee populaire open source-bibliotheken die van invloed zijn op een verscheidenheid aan producten, waaronder Skype, Teams en de Edge-browser. Maar Microsoft wil niet zeggen of deze zero-day-kwetsbaarheden zijn misbruikt om zijn producten aan te vallen, of dat het bedrijf hiervan op de hoogte was.

Onderzoekers van Google en Citizen Lab zeggen dat de twee kwetsbaarheden, bekend als zero-days omdat ontwikkelaars niet van tevoren op de hoogte waren gesteld om ze te repareren, vorige maand zijn ontdekt en actief zijn uitgebuit om individuen met spyware te targeten.

De bugs zijn ontdekt in twee veelgebruikte open source-bibliotheken, webp en libvpx, die op grote schaal zijn geïntegreerd in browsers, apps en mobiele telefoons om afbeeldingen en video's te verwerken. De alomtegenwoordigheid van deze bibliotheken, in combinatie met waarschuwingen van beveiligingsonderzoekers dat de kwetsbaarheden worden misbruikt om spyware te installeren, heeft technologiebedrijven, telefoonfabrikanten en app-ontwikkelaars ertoe aangezet zich te haasten om de kwetsbare bibliotheken in hun producten bij te werken.

Microsoft zei maandag in een korte verklaring dat het oplossingen voor twee kwetsbaarheden in de webp- en libvpx-bibliotheken had uitgerold en deze in zijn producten had geïntegreerd, waarbij het erkende dat beide kwetsbaar waren. Toen een Microsoft-woordvoerder om commentaar werd gevraagd, weigerde hij te zeggen of zijn producten extern werden geëxploiteerd of dat het bedrijf de mogelijkheid had om van de situatie op de hoogte te zijn.

Beveiligingsonderzoekers van CitizenLab zeiden begin september dat ze bewijs hadden gevonden dat klanten van NSOGroup de PegASUS-spyware van het bedrijf gebruikten om kwetsbaarheden in de nieuwste en volledig gepatchte iPhone-software te misbruiken.

Volgens CitizenLab kan een kwetsbaarheid in de kwetsbare webp-bibliotheek die Apple in zijn producten integreert, worden uitgebuit zonder enige tussenkomst van de eigenaar van het apparaat, een zogenaamde zero-click-aanval. Apple heeft beveiligingsoplossingen voor iPhones, iPads, Macs en horloges uitgerold en erkende dat de fout mogelijk door onbekende hackers is uitgebuit.

Google, dat afhankelijk is van de webp-bibliotheek in Chrome en andere producten, begon begin september ook met het patchen van de bug om zijn gebruikers te beschermen tegen een kwetsbaarheid waarvan Google naar eigen zeggen op de hoogte was van 'extern'. Mozilla, dat de Firefox-browser en Thunderbird-e-mailclient draait, heeft de bug ook in zijn applicaties gepatcht en merkt op dat Mozilla zich ervan bewust is dat de bug in andere producten is uitgebuit.

Later deze maand zeiden beveiligingsonderzoekers van Google dat ze nog een kwetsbaarheid hadden ontdekt, dit keer in de libvpx-bibliotheek, waarvan Google zei dat deze was misbruikt door een commerciële spywareleverancier, die Google weigerde te noemen. Google heeft snel een update uitgerold om een ​​kwetsbare libvpx-bug te repareren die in Chrome is geïntegreerd.

Apple heeft woensdag een beveiligingsupdate uitgebracht die een libvpx-bug in iPhones en iPads repareert, evenals een andere kernelkwetsbaarheid waarvan Apple zegt dat deze apparaten misbruikt die software draaien vóór iOS 16.6.

Het blijkt dat de zero-day kwetsbaarheid in libvpx ook Microsoft-producten treft, maar het is onduidelijk of hackers deze kunnen misbruiken om gebruikers van de producten van het bedrijf aan te vallen.