Microsoft wird nicht sagen, ob seine Produkte von Spyware ausgenutzt wurden

Bildnachweis: Bryce Durbin/TechCrunch

Microsoft hat Patches veröffentlicht, um Zero-Day-Schwachstellen in zwei beliebten Open-Source-Bibliotheken zu beheben, die mehrere Microsoft-Produkte betreffen, darunter Skype, Teams und den Edge-Browser. Aber Microsoft will nicht sagen, ob diese Zero-Days zur gezielten Ausrichtung auf seine Produkte genutzt wurden oder ob das Unternehmen das eine oder andere wusste.

Die Schwachstellen wurden letzten Monat entdeckt – bekannt als Zero-Days, da die Entwickler keine Vorankündigung hatten, um die Fehler zu beheben – und beide Schwachstellen wurden laut Forschern von Google und Citizen Lab aktiv ausgenutzt, um Einzelpersonen mit Spyware anzugreifen.

Die Fehler wurden in zwei beliebten Open-Source-Bibliotheken, webp und libvpx, entdeckt, die weithin in Browser, Apps und Telefone integriert sind, um Bilder und Videos zu verarbeiten. Die Allgegenwärtigkeit dieser Bibliotheken hat zusammen mit der Warnung von Sicherheitsforschern, dass die Fehler zum Einschleusen von Spyware missbraucht werden könnten, dazu geführt, dass Technologieunternehmen, Telefonhersteller und App-Entwickler überstürzt anfällige Bibliotheken in ihren Produkten aktualisieren.

In Zusammenfassende Stellungnahme Microsoft gab am Montag bekannt, dass es Korrekturen zur Behebung von zwei Schwachstellen in den Webp- und Libvpx-Bibliotheken eingeführt hat, die es in seine Produkte integriert hat, und bestätigte die Existenz von Exploits für … beide Schwachpunkte.

Als ein Microsoft-Sprecher um eine Stellungnahme gebeten wurde, wollte er nicht sagen, ob die Produkte direkt ausgenutzt wurden oder ob das Unternehmen die Möglichkeit dazu hatte.

Sicherheitsforscher von Citizen Lab sagten Anfang September, dass dies der Fall sei Beweise entdeckt Agenten der NSO Group nutzten die Pegasus-Spyware des Unternehmens und nutzten eine Schwachstelle aus, die in einer aktualisierten und vollständig gepatchten iPhone-Software gefunden wurde.

Laut Citizen Lab wurde der Fehler in einer anfälligen WebP-Bibliothek, die Apple in seine Produkte integriert, ausgenutzt, ohne dass eine Interaktion des Gerätebesitzers erforderlich war, ein sogenannter Zero-Click-Angriff. Apfel Sicherheitsreformen eingeführt für iPhone, iPad, Mac und Uhren und räumte ein, dass der Fehler möglicherweise von unbekannten Hackern ausgenutzt wurde.

Google verlässt sich auch in Chrome und anderen Produkten auf die WebP-Bibliothek Die Fehlerbehebung hat begonnen Anfang September eingeführt, um seine Nutzer vor einem Exploit zu schützen, von dem Google nach eigenen Angaben wusste, dass es „in freier Wildbahn existiert“. Mozilla, das auch den Firefox-Browser und den Thunderbird-E-Mail-Client herstellt Fehler behoben In seinen Anträgen wurde darauf hingewiesen, dass Mozilla sich der Schwachstelle bewusst sei, die in anderen Produkten ausgenutzt werde.

Später im Monat sagten Google-Sicherheitsforscher, sie hätten eine weitere Schwachstelle entdeckt, dieses Mal in der libvpx-Bibliothek, die laut Google … Sie wurden misshandelt Von einem kommerziellen Spyware-Anbieter, dessen Namen Google nicht nennen wollte. Google veröffentlichte kurz darauf ein Update, um den schwachen integrierten libvpx-Fehler in Chrome zu beheben.

Apple hat eine veröffentlicht Sicherheitsupdate am Mittwoch, um einen libvpx-Fehler auf iPhones und iPads zu beheben, zusammen mit einer weiteren Kernel-Schwachstelle, die laut Apple Geräte ausnutzt, auf denen Software älter als iOS 16.6 läuft.

Wie sich herausstellte, betraf die Nullsummenlücke in libvpx auch Microsoft-Produkte, wobei noch unklar ist, ob Hacker sie gegen Benutzer von Microsoft-Produkten ausnutzen könnten.