Microsoft heeft patches uitgebracht om zero-day-kwetsbaarheden aan te pakken in twee populaire open source-bibliotheken die softwareoplossingen beïnvloeden Skype, Teams en de Edge-browser. Het bedrijf heeft geen informatie vrijgegeven over de vraag of de kwetsbaarheden door aanvallers zijn gebruikt om gebruikers aan te vallen of niet.
Vorige maand werden zero-day-kwetsbaarheden ontdekt in de open source-bibliotheken webp en libvpx die worden gebruikt om afbeeldingen en video's in browsers, apps en smartphones te verwerken. Volgens onderzoekers van Google en Citizen Lab werden deze kwetsbaarheden actief gebruikt door aanvallers om spyware op de apparaten van slachtoffers te installeren.
Specialisten van Citizen Lab meldden dat klanten van het Israëlische bedrijf NSO Group, dat zich bezighoudt met de ontwikkeling van spionagesoftware, volgens hun onderzoek Peg-software gebruiktenasus wegens misbruik van een kwetsbaarheid in de bijgewerkte iPhone-software. Een kenmerk van dit beveiligingslek in de webp-bibliotheek is geïntegreerd Apple, was dat voor de werking ervan geen interactie met de eigenaar van het apparaat nodig was (de zogenaamde Zero-Click-aanval).
Grote technologiebedrijven, waaronder Google en Mozilla, hebben ook stappen ondernomen om deze kwetsbaarheden in hun producten te patchen om gebruikers tegen mogelijke aanvallen te beschermen. Beveiligingsonderzoekers van Google ontdekten later nog een kwetsbaarheid, dit keer in de libvpx-bibliotheek, waarvan ze zeiden dat deze werd uitgebuit door een commerciële spywareleverancier die Google weigerde te noemen.
Van mijn kant, Apple en Google hebben beveiligingsupdates uitgebracht om de libvpx-kwetsbaarheid in hun producten aan te pakken. Apple repareerde ook een andere kwetsbaarheid in de kernel van de apparaten, waarbij werd gezegd dat de kwetsbare apparaten softwareversies draaiden vóór iOS 16.6.
Het blijkt dat de kwetsbaarheid in libvpx ook producten trof Microsoft. Het bedrijf heeft de aanwezigheid van gedetecteerde kwetsbaarheden in de genoemde bibliotheken bevestigd en de bijbehorende updates uitgebracht. De softwaregigant weigerde echter commentaar te geven op de vraag of de producten van het bedrijf waren aangevallen.
Lees ook: