close

_03_2023.10.04_Microsoft_緊急推出_Edge、Teams_更新,修復_2_個開源組件中的_0-day_漏洞

Microsoft 日前緊急針對旗下的 Microsoft Edge、Teams 與 Skype 緊急推出軟體更新,修復 2 個存於開源程式庫中的 0-day 漏洞。

第一個獲得修復的漏洞是 CVE-2023-4863,這個漏洞存於開源 WebP 程式庫 libwebp 中,屬於 heap 緩衝區溢位(buffer overflow)錯誤;駭侵者可透過此漏洞造成應用軟體崩潰,亦可執行任意程式碼。

值得注意的是,由於 libwebp 這個開源程式庫是用來對 WebP 格式的網路圖片進行編碼與解碼,因此應用範圍十分廣泛;除了 Microsoft 這次修復的三個產品外,包括 Safari、Mozilla Firefox、Opera、Android 原生瀏覽器之外,像是 1Password 與 Signal 等熱門應用軟體也採用了 libwebp,因此都需進行資安修補。

 

第二個獲得修復的漏洞是 CVE-2023-5217,這個漏洞存於開源 VP8 程式庫 libvpx 中的視訊編碼程式,和前一個漏洞一樣屬於 heap 緩衝區溢位(buffer overflow)錯誤;駭侵者也可透過此漏洞造成應用軟體崩潰,亦可執行任意程式碼。

而 libvpx 這個開源程式庫,因為負責處理 VP8 和 VP9 兩種影片格式的編解碼,因此 同樣廣泛應用在多種軟體之中,包括多種影音串流平台的 App 如 Netflix、YouTube、Amazon Prime Video 等也都使用。

目前已知有駭侵者利用這兩個影響廣泛的漏洞,來發動間諜軟體攻擊,使用者應特別提高警覺。

建議使用 Microsoft 以上產品的使用者,應儘速套用更新,以免遭到駭侵者透過已知漏洞發動攻擊。

  • 參考連結

Microsoft’s Response to Open-Source Vulnerabilities - CVE-2023-4863 and CVE-2023-5217

https://msrc.microsoft.com/blog/2023/10/microsofts-response-to-open-source-vulnerabilities-cve-2023-4863-and-cve-2023-5217/

Microsoft Edge, Teams get fixes for zero-days in open-source libraries

https://www.bleepingcomputer.com/news/microsoft/microsoft-edge-teams-get-fixes-for-zero-days-in-open-source-libraries/

arrow
arrow

    twcert 發表在 痞客邦 留言(0) 人氣()