Microsoft hat Patches veröffentlicht, um Zero-Day-Schwachstellen in zwei beliebten Open-Source-Bibliotheken zu schließen, die eine Vielzahl von Produkten betreffen, darunter Skype, Teams und seinen Edge-Browser. Microsoft wollte jedoch nicht sagen, ob diese Zero-Day-Schwachstellen zum Angriff auf seine Produkte ausgenutzt wurden oder ob das Unternehmen davon Kenntnis hatte.
Forscher von Google und Citizen Lab sagen, dass die beiden Schwachstellen, die als Zero-Day-Schwachstellen bekannt sind, weil die Entwickler nicht im Voraus benachrichtigt wurden, um sie zu beheben, letzten Monat entdeckt wurden und aktiv ausgenutzt wurden, um Einzelpersonen mit Spyware anzugreifen.
Die Fehler wurden in zwei gängigen Open-Source-Bibliotheken, webp und libvpx, entdeckt, die weithin in Browser, Apps und Mobiltelefone integriert sind, um Bilder und Videos zu verarbeiten. Die Allgegenwart dieser Bibliotheken, gepaart mit Warnungen von Sicherheitsforschern, dass die Schwachstellen zum Einschleusen von Spyware missbraucht werden, hat Technologieunternehmen, Telefonhersteller und App-Entwickler dazu veranlasst, die anfälligen Bibliotheken in ihren Produkten überstürzt zu aktualisieren.
Microsoft teilte am Montag in einer kurzen Erklärung mit, dass es Korrekturen für zwei Schwachstellen in den Bibliotheken webp und libvpx eingeführt und diese in seine Produkte integriert habe, und räumte ein, dass beide Schwachstellen angreifbar seien. Als ein Microsoft-Sprecher um eine Stellungnahme gebeten wurde, wollte er nicht sagen, ob die Produkte extern ausgenutzt wurden oder ob das Unternehmen in der Lage war, etwas über die Situation zu erfahren.
Sicherheitsforscher von CitizenLab sagten Anfang September, sie hätten Beweise dafür gefunden, dass Kunden von NSOGroup die PegASUS-Spyware des Unternehmens verwendet hätten, um Schwachstellen in der neuesten und vollständig gepatchten iPhone-Software auszunutzen.
Laut CitizenLab kann eine Schwachstelle in der anfälligen Webp-Bibliothek, die Apple in seine Produkte integriert, ohne jegliche Interaktion des Gerätebesitzers ausgenutzt werden, ein sogenannter Zero-Click-Angriff. Apple hat Sicherheitsupdates für iPhones, iPads, Macs und Uhren eingeführt und eingeräumt, dass die Schwachstelle möglicherweise von unbekannten Hackern ausgenutzt wurde.
Auch Google, das auf die WebP-Bibliothek in Chrome und anderen Produkten angewiesen ist, begann Anfang September mit dem Patchen des Fehlers, um seine Nutzer vor einer Schwachstelle zu schützen, von der Google nach eigenen Angaben „extern“ Kenntnis hatte. Mozilla, das den Firefox-Browser und den E-Mail-Client Thunderbird betreibt, hat den Fehler ebenfalls in seinen Anwendungen behoben und darauf hingewiesen, dass Mozilla weiß, dass der Fehler in anderen Produkten ausgenutzt wurde.
Später in diesem Monat sagten Google-Sicherheitsforscher, sie hätten eine weitere Schwachstelle entdeckt, dieses Mal in der libvpx-Bibliothek, die laut Google von einem kommerziellen Spyware-Anbieter missbraucht worden sei, dessen Namen Google nicht nennen wollte. Google hat schnell ein Update herausgebracht, um einen anfälligen libvpx-Fehler zu beheben, der in Chrome integriert ist.
Apple hat am Mittwoch ein Sicherheitsupdate veröffentlicht, das einen libvpx-Fehler in iPhones und iPads sowie eine weitere Kernel-Schwachstelle behebt, die laut Apple Geräte ausnutzte, auf denen Software vor iOS 16.6 ausgeführt wurde.
Es stellt sich heraus, dass die Zero-Day-Schwachstelle in libvpx auch Microsoft-Produkte betrifft, es ist jedoch unklar, ob Hacker sie ausnutzen konnten, um Benutzer der Produkte des Unternehmens anzugreifen.