Microsoft, casus yazılımların ürünlerinden yararlanıp yararlanmadığını söylemiyor

Resim kredisi: Bryce Durbin/TechCrunch

Microsoft, Skype, Teams ve Edge tarayıcısı da dahil olmak üzere birden fazla Microsoft ürününü etkileyen iki popüler açık kaynak kitaplığında sıfır gün güvenlik açıklarını düzeltmek için yamalar yayımladı. Ancak Microsoft, bu sıfır günlerin ürünlerini hedeflemek için kullanılıp kullanılmadığını veya şirketin her iki yolu da bilip bilmediğini söylemiyor.

Google ve Citizen Lab’daki araştırmacılara göre, geliştiricilerin hataları düzeltmek için önceden bildirimde bulunmaması nedeniyle sıfır gün olarak bilinen güvenlik açıkları geçen ay keşfedildi ve her iki güvenlik açığı da casus yazılımlı bireyleri hedeflemek için aktif olarak kullanıldı.

Hatalar, görüntüleri ve videoları işlemek için tarayıcılara, uygulamalara ve telefonlara geniş çapta entegre olan iki popüler açık kaynak kitaplığında (webp ve libvpx) keşfedildi. Bu kitaplıkların her yerde bulunması, güvenlik araştırmacılarının bu hataların casus yazılım yerleştirmek için kötüye kullanılabileceği uyarısıyla birleştiğinde, teknoloji şirketlerinin, telefon üreticilerinin ve uygulama geliştiricilerinin ürünlerindeki savunmasız kitaplıkları güncelleme konusunda acele etmesine yol açtı.

içinde Özet beyanı Microsoft Pazartesi günü yaptığı açıklamada, ürünlerine entegre ettiği webp ve libvpx kitaplıklarındaki iki güvenlik açığını gidermek için düzeltmeler yaptığını ve güvenlik açıklarının varlığını kabul ettiğini söyledi. Bunların her ikisi de zayıf noktalar.

Yorum yapmak için ulaşıldığında Microsoft sözcüsü, ürünlerinden doğrudan yararlanılıp yararlanılmadığını veya şirketin bunu bilme olanağının olup olmadığını söylemeyi reddetti.

Citizen Lab’deki güvenlik araştırmacıları eylül ayının başlarında şunları söyledi: Kanıt keşfedildi Şirketin Pegasus casus yazılımını kullanan NSO Grubu temsilcileri, güncellenmiş ve tamamen yamalı iPhone yazılımında bulunan bir güvenlik açığından yararlandı.

Citizen Lab’e göre, Apple’ın ürünlerine entegre ettiği savunmasız bir webp kitaplığındaki kusur, cihaz sahibinin herhangi bir etkileşimine gerek kalmadan sıfır tıklama saldırısı olarak adlandırılan bir saldırıyla istismar edildi. elma Güvenlik reformları uygulamaya konuldu iPhone, iPad, Mac ve saatler için bu kusurun bilinmeyen bilgisayar korsanları tarafından kullanılmış olabileceğini kabul etti.

Google, Chrome’daki ve diğer ürünlerdeki webp kitaplığına da güveniyor Hata düzeltmesi başladı Google’ın “vahşi ortamda var olduğunun” farkında olduğunu söylediği bir istismardan kullanıcılarını korumak için Eylül ayı başlarında. Firefox tarayıcısını ve Thunderbird e-posta istemcisini de yapan Mozilla Hata düzeltildi Uygulamalarında Mozilla’nın diğer ürünlerde de istismar edilen güvenlik açığından haberdar olduğuna dikkat çekildi.

Ayın ilerleyen saatlerinde Google güvenlik araştırmacıları, bu kez libvpx kütüphanesinde başka bir güvenlik açığı keşfettiklerini söylediler. İstismar edildiler Google’ın adını vermeyi reddettiği ticari bir casus yazılım satıcısı tarafından. Google kısa bir süre sonra Chrome’daki zayıf libvpx yerleşik hatasını düzeltmek için bir güncelleme yayınladı.

Apple bir yayınladı Güvenlik güncellemesi Apple’ın iOS 16.6’dan daha eski yazılımları çalıştıran cihazlardan yararlandığını söylediği başka bir çekirdek güvenlik açığının yanı sıra iPhone’lar ve iPad’lerdeki bir libvpx hatasını düzeltmek için Çarşamba günü.

Anlaşıldığı üzere, libvpx’teki sıfır toplamlı güvenlik açığı Microsoft ürünlerini de etkiledi, ancak bilgisayar korsanlarının bunu Microsoft ürünleri kullanıcılarına karşı kullanıp kullanamayacağı henüz belli değil.