Microsoft пусна кръпки, поправящи уязвимости от типа „нулев ден“ в Skype, Teams и Edge
Microsoft пусна кръпки за премахване на уязвимости от вида „ нулев ден “ в две известни библиотеки с отворен код, които засягат чат клиента Skype, софтуерните решения Teams и браузъра Edge. Компанията не разкрива дали уязвимостите са били употребявани от хакери за офанзиви против потребителите или не.
Миналия месец бяха открити уязвимости от вида „ нулев ден “ в библиотеките с отворен код webp и libvpx, които се употребяват за обработка на изображения и видео в браузъри, приложения и смарт телефони. Според откриватели от Гугъл и Citizen Lab тези уязвимости са били интензивно употребявани от хакери за инсталиране на шпионски програмен продукт на устройствата на жертвите.
Експертите от Citizen Lab оповестиха, че съгласно техните проучвания клиентите на израелската компания за шпионски програмен продукт NSO Group са употребявали софтуера Pegasus, с цел да употребяват накърнимост в софтуера на iPhone. Особеността на тази накърнимост в библиотеката webp, интегрирана от Apple се състои в това, че за нейното потребление не е належащо взаимоотношение със притежателя на устройството (т.нар. „ нулев клик “ атака).
Големите софтуерни компании, в това число Гугъл и Mozilla също започнаха стъпки за премахване на тези уязвимости в своите артикули, с цел да защитят потребителите от вероятни офанзиви. По-късно откривателите по сигурността на Гугъл откриха друга накърнимост, този път в библиотеката libvpx, която съгласно тях е била употребена от търговски снабдител на шпионски програмен продукт, чието име Гугъл отхвърли да уточни.
На собствен ред Apple и Гугъл пуснаха актуализации за сигурност, с цел да отстранят уязвимостта на libvpx в своите артикули. Apple също по този начин обърна внимание на друга накърнимост в ядрото на своето устройство, като съобщи, че уязвимите устройства са работили със софтуерни версии преди iOS 16.6.
Установено бе, че уязвимостта в libvpx визира и артикули на Microsoft. Компанията удостовери съществуването на откритите уязвимости в посочените библиотеки и пусна съответните актуализации. Софтуерният колос обаче отхвърли да разяснява дали продуктите на компанията са били наранени от офанзивите.
