Microsoft vydala záplaty, které řeší zero-day zranitelnosti ve dvou populárních open source knihovnách ovlivňujících softwarová řešení Skype, Teams a prohlížeč Edge. Společnost nezveřejnila informace o tom, zda zranitelnosti útočníci použili k útokům na uživatele, či nikoli.
Minulý měsíc byly v open source knihovnách webp a libvpx, které se používají ke zpracování obrázků a videí v prohlížečích, aplikacích a chytrých telefonech, objeveny zranitelnosti zero-day. Podle výzkumníků z Google a Citizen Lab tyto zranitelnosti útočníci aktivně využívali k instalaci spywaru do zařízení obětí.
Specialisté z Citizen Lab uvedli, že podle jejich výzkumu klienti izraelské společnosti NSO Group, která se zabývá vývojem špionážního softwaru, používali software Pegasus za zneužití zranitelnosti v aktualizovaném softwaru iPhone. Funkce této chyby zabezpečení v knihovně webp, integrovaná Apple, spočívalo v tom, že jeho provoz nevyžadoval interakci s majitelem zařízení (tzv. Zero-Click útok).
Velké technologické společnosti, včetně Googlu a Mozilly, také podnikly kroky k opravě těchto zranitelností ve svých produktech, aby ochránily uživatele před potenciálními útoky. Bezpečnostní výzkumníci Google později objevili další zranitelnost, tentokrát v knihovně libvpx, kterou podle nich zneužívá komerční prodejce spywaru, kterého Google odmítl jmenovat.
Z mé strany, Apple a Google vydaly bezpečnostní aktualizace, které řeší zranitelnost libvpx ve svých produktech. Apple také opravila další zranitelnost v jádře zařízení, podle níž byla na zranitelných zařízeních spuštěna verze softwaru před iOS 16.6.
Jak se ukázalo, zranitelnost v libvpx ovlivnila i produkty Microsoft. Společnost potvrdila přítomnost zjištěných zranitelností ve zmíněných knihovnách a vydala odpovídající aktualizace. Softwarový gigant však odmítl komentovat, zda byly produkty společnosti napadeny.
Přečtěte si také: