Microsoft 日前緊急針對旗下的 Microsoft Edge、Teams 與 Skype 緊急推出軟體更新,修復 2 個存於開源程式庫中的 0-day 漏洞。
第一個獲得修復的漏洞是 CVE-2023-4863,這個漏洞存於開源 WebP 程式庫 libwebp 中,屬於 heap 緩衝區溢位(buffer overflow)錯誤;駭侵者可透過此漏洞造成應用軟體崩潰,亦可執行任意程式碼。
值得注意的是,由於 libwebp 這個開源程式庫是用來對 WebP 格式的網路圖片進行編碼與解碼,因此應用範圍十分廣泛;除了 Microsoft 這次修復的三個產品外,包括 Safari、Mozilla Firefox、Opera、Android 原生瀏覽器之外,像是 1Password 與 Signal 等熱門應用軟體也採用了 libwebp,因此都需進行資安修補。
第二個獲得修復的漏洞是 CVE-2023-5217,這個漏洞存於開源 VP8 程式庫 libvpx 中的視訊編碼程式,和前一個漏洞一樣屬於 heap 緩衝區溢位(buffer overflow)錯誤;駭侵者也可透過此漏洞造成應用軟體崩潰,亦可執行任意程式碼。
而 libvpx 這個開源程式庫,因為負責處理 VP8 和 VP9 兩種影片格式的編解碼,因此 同樣廣泛應用在多種軟體之中,包括多種影音串流平台的 App 如 Netflix、YouTube、Amazon Prime Video 等也都使用。
目前已知有駭侵者利用這兩個影響廣泛的漏洞,來發動間諜軟體攻擊,使用者應特別提高警覺。
建議使用 Microsoft 以上產品的使用者,應儘速套用更新,以免遭到駭侵者透過已知漏洞發動攻擊。
- 參考連結
Microsoft’s Response to Open-Source Vulnerabilities - CVE-2023-4863 and CVE-2023-5217
Microsoft Edge, Teams get fixes for zero-days in open-source libraries
留言列表
資安宣導 (2)
