微软已发布补丁修复webp和libvpx库中的零日漏洞,影响其多款产品,包括Skype、Teams和Edge。这些漏洞曾被用于间谍软件攻击,但微软未透露产品是否受影响及攻击详情。其他科技公司如谷歌、苹果也已采取行动修复相关漏洞。
微软已经发布补丁来修复两个流行开源库中的零日漏洞,这些漏洞影响了包括Skype、Teams和Edge浏览器在内的多个微软产品。但微软不会透露这些零日漏洞是否被用来针对其产品,也不会透露公司是否知道这些漏洞是否被利用。
这两个漏洞被称为零日漏洞,因为开发人员没有提前收到通知来修复这些错误。这两个漏洞是上个月被发现的,根据谷歌和公民实验室的研究人员称,这些漏洞被积极利用于通过间谍软件针对个人。
这两个被发现的漏洞来自两个常见的开源库webp和libvpx,这些库被广泛集成到浏览器、应用程序和手机中,用于处理图像和视频。这些库的普遍性以及安全研究人员关于这些漏洞被用于植入间谍软件的警告促使科技公司、手机制造商和应用程序开发人员急于更新他们产品中存在的漏洞库。
周一,微软在一份简短声明中表示,该公司已经发布了针对webp和libvpx库中两个漏洞的修复程序,这些漏洞已经被集成到微软的产品中,并承认存在针对这两个漏洞的攻击程序。
当被要求对此发表评论时,微软的一位发言人拒绝透露其产品是否被野外利用,或该公司是否有能力知道。
公民实验室的安全研究人员在9月初表示,他们发现有证据表明NSO Group的客户利用该公司的Pegasus间谍软件,利用了漏洞存在于最新、完全打补丁的iPhone软件中的漏洞。
根据公民实验室的说法,易受攻击的webp库中的漏洞被苹果集成到其产品中,而无需设备所有者进行任何交互就可以被利用-即所谓的零点击攻击。苹果推出了针对iPhone、iPad、Mac和Apple Watch的安全修复程序,并承认该漏洞可能已被未知黑客利用。
依赖Chrome和其他产品中webp库的谷歌,也在9月初开始修复该漏洞,以保护其用户免受谷歌所说的“在野外存在”的攻击程序。制造Firefox浏览器和Thunderbird电子邮件客户端的Mozilla也修补了其应用程序中的漏洞,并指出Mozilla知道该漏洞已在其他产品中被利用。
本月晚些时候,谷歌安全研究人员表示,他们发现了另一个漏洞,这次是libvpx库中的漏洞。谷歌表示,这个漏洞被一家商业间谍软件供应商滥用,但谷歌拒绝透露这家供应商的名字。不久之后,谷歌推出了一个更新来修复集成到Chrome中的易受攻击的libvpx漏洞。
苹果于周三发布了安全更新程序,以修复iPhone和iPad中的libvpx漏洞以及另一个内核漏洞。苹果表示,这个内核漏洞影响了运行早于iOS 16.6软件的设备。
事实证明,libvpx中的零日漏洞也影响了微软产品,但目前还不清楚黑客是否能够利用它来攻击微软产品的用户。
文章来源:TechCrunch
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
