이미지 출처: 브라이스 더빈/테크크런치

Microsoft는 Skype, Teams 및 Edge 브라우저를 포함하여 여러 Microsoft 제품에 영향을 미치는 두 가지 인기 오픈 소스 라이브러리의 제로데이 취약점을 수정하는 패치를 출시했습니다. 그러나 마이크로소프트는 자사 제품을 목표로 하는 데 제로데이가 사용되었는지, 아니면 회사가 어느 쪽이든 알고 있었는지는 밝히지 않았습니다.

Google과 Citizen Lab의 연구원에 따르면 이 취약점은 개발자들이 버그 수정을 위한 사전 통지가 없었기 때문에 제로데이로 알려진 지난달에 발견되었으며 두 취약점 모두 스파이웨어로 개인을 표적으로 삼는 데 적극적으로 악용되었습니다.

이 버그는 이미지와 비디오를 처리하기 위해 브라우저, 앱, 휴대폰에 널리 통합되는 두 가지 인기 오픈 소스 라이브러리인 webp와 libvpx에서 발견되었습니다. 이러한 라이브러리의 편재성과 버그가 스파이웨어 심기에 악용될 수 있다는 보안 연구원의 경고와 함께 기술 회사, 휴대폰 제조업체 및 앱 개발자는 제품의 취약한 라이브러리를 서둘러 업데이트하게 되었습니다.

~에 요약문 마이크로소프트는 월요일 자사 제품에 통합한 webp 및 libvpx 라이브러리의 두 가지 취약점을 해결하기 위한 수정 사항을 발표했으며 이에 대한 익스플로잇의 존재를 인정했다고 밝혔습니다. 둘 다 약점.

논평을 요청했을 때 Microsoft 대변인은 자사 제품이 직접적으로 악용되었는지 또는 회사가 이를 알 수 있었는지 여부를 밝히기를 거부했습니다.

Citizen Lab의 보안 연구원들은 9월 초에 다음과 같이 밝혔습니다. 발견된 증거 NSO 그룹 에이전트는 회사의 Pegasus 스파이웨어를 사용하여 업데이트되고 완전히 패치된 iPhone 소프트웨어에서 발견된 취약점을 악용했습니다.

Citizen Lab에 따르면, Apple이 제품에 통합한 취약한 webp 라이브러리의 결함은 장치 소유자의 상호 작용 없이 소위 제로 클릭 공격으로 악용되었습니다. 사과 보안 개혁 도입 iPhone, iPad, Mac 및 Watch의 경우 알려지지 않은 해커가 결함을 악용했을 수 있음을 인정했습니다.

Google은 Chrome 및 기타 제품에서도 webp 라이브러리를 사용합니다. 버그수정이 시작되었습니다 Google이 “야생에 존재”한다고 알고 있는 공격으로부터 사용자를 보호하기 위해 9월 초에 조치를 취했습니다. Firefox 브라우저와 Thunderbird 이메일 클라이언트도 만드는 Mozilla 버그 수정 애플리케이션에서 Mozilla는 다른 제품에서 취약점이 악용되고 있음을 인지하고 있음을 지적했습니다.

이달 말, 구글 보안 연구원들은 이번에는 libvpx 라이브러리에서 또 다른 취약점을 발견했다고 밝혔습니다. 그들은 학대를 당했어요 Google이 이름을 밝히기를 거부한 상업용 스파이웨어 공급업체입니다. Google은 곧 Chrome의 약한 libvpx 내장 버그를 수정하는 업데이트를 출시했습니다.

애플은 보안 업데이트 iOS 16.6보다 오래된 소프트웨어를 실행하는 장치를 악용한다고 Apple이 밝힌 또 다른 커널 취약점과 함께 iPhone 및 iPad의 libvpx 버그가 수요일에 수정되었습니다.

밝혀진 바와 같이 libvpx의 제로섬 취약점은 Microsoft 제품에도 영향을 미쳤지만 해커가 Microsoft 제품 사용자를 대상으로 이 취약점을 악용할 수 있는지 여부는 아직 확실하지 않습니다.