Microsoft няма да каже дали шпионският софтуер е експлоатирал нейните продукти

Кредити за изображения: Брайс Дърбин/TechCrunch

Microsoft пусна корекции за коригиране на уязвимости от нулевия ден в две популярни библиотеки с отворен код, които засягат множество продукти на Microsoft, включително Skype, Teams и браузъра Edge. Но Microsoft няма да каже дали тези нулеви дни са били използвани за насочване към нейните продукти или дали компанията е знаела и за двата случая.

Уязвимостите бяха открити миналия месец – известни като нулеви дни, тъй като разработчиците не са имали предварително известие за коригиране на грешките – и двете уязвимости са били активно използвани за насочване към лица с шпионски софтуер, според изследователи от Google и Citizen Lab.

Грешките бяха открити в две популярни библиотеки с отворен код, webp и libvpx, които са широко интегрирани в браузъри, приложения и телефони за обработка на изображения и видеоклипове. Повсеместното разпространение на тези библиотеки, съчетано с предупрежденията на изследователи по сигурността, че бъговете могат да бъдат злоупотребявани за инсталиране на шпионски софтуер, доведе до бързане от технологични компании, производители на телефони и разработчици на приложения да актуализират уязвимите библиотеки в своите продукти.

в Обобщена декларация Microsoft заяви в понеделник, че е внедрила корекции за справяне с две уязвимости в библиотеките webp и libvpx, които е интегрирала в продуктите си, и призна, че има експлойти за… и двамата Слабости.

Когато беше потърсен за коментар, говорител на Microsoft отказа да каже дали неговите продукти са били пряко експлоатирани или дали компанията е имала възможност да знае.

Изследователи по сигурността от Citizen Lab казаха в началото на септември, че са го направили Открити са доказателства Агентите на NSO Group, използвайки шпионския софтуер Pegasus на компанията, използваха уязвимост, открита в актуализиран и напълно закърпен софтуер на iPhone.

Според Citizen Lab, пропускът в уязвима webp библиотека, която Apple интегрира в продуктите си, е бил използван, без да се изисква каквото и да е взаимодействие от собственика на устройството, така наречената атака с нулево кликване. ябълка Въведени са реформи в сигурността за iPhone, iPad, Mac и часовници и призна, че пропускът може да е бил използван от неизвестни хакери.

Google разчита на библиотеката webp в Chrome и други продукти Коригирането на грешки е започнало в началото на септември, за да защити своите потребители от експлойт, за който Google каза, че знае, че „съществува в дивата природа“. Mozilla, която също прави браузъра Firefox и имейл клиента Thunderbird Грешката е коригирана В своите приложения, отбелязвайки, че Mozilla е била наясно с уязвимостта, която се използва в други продукти.

По-късно през месеца изследователите на сигурността на Google казаха, че са открили друга уязвимост, този път в библиотеката libvpx, която Google каза… Бяха малтретирани От търговски доставчик на шпионски софтуер, чието име Google отказа да назове. Google пусна актуализация, за да поправи слабия вграден бъг в libvpx в Chrome скоро след това.

Apple пусна a Актуализация на защитата в сряда, за да коригира грешка в libvpx на iPhone и iPad, заедно с друга уязвимост на ядрото, която Apple каза, че използва устройства, работещи със софтуер, по-стар от iOS 16.6.

Както се оказа, уязвимостта с нулева сума в libvpx също засегна продуктите на Microsoft, въпреки че все още не е ясно дали хакерите ще могат да я използват срещу потребители на продукти на Microsoft.