Microsoft не сообщает, использовало ли ее продукты шпионское ПО

Авторы изображений: Брайс Дурбин / TechCrunch

Microsoft выпустила исправления для исправления уязвимостей нулевого дня в двух популярных библиотеках с открытым исходным кодом, которые затрагивают несколько продуктов Microsoft, включая Skype, Teams и браузер Edge. Но Microsoft не сообщает, были ли эти нулевые дни использованы для нацеливания на ее продукты, или же компания знала об этом.

По словам исследователей из Google и Citizen Lab, эти уязвимости были обнаружены в прошлом месяце (известные как «нулевые дни», поскольку у разработчиков не было предварительного уведомления об исправлении ошибок), и обе уязвимости активно использовались для нападения на людей с помощью шпионского ПО.

Ошибки были обнаружены в двух популярных библиотеках с открытым исходным кодом — webp и libvpx, которые широко интегрируются в браузеры, приложения и телефоны для обработки изображений и видео. Повсеместное распространение этих библиотек, а также предупреждения исследователей в области безопасности о том, что ошибки могут быть использованы для установки шпионского ПО, привели к тому, что технологические компании, производители телефонов и разработчики приложений поспешно обновили уязвимые библиотеки в своих продуктах.

в Сводное заявление В понедельник Microsoft заявила, что выпустила исправления для устранения двух уязвимостей в библиотеках webp и libvpx, которые она интегрировала в свои продукты, и признала существование эксплойтов для… оба из них Недостатки.

Когда к представителю Microsoft обратились за комментариями, он отказался сообщить, подвергались ли его продукты непосредственному взлому или была ли у компании возможность узнать об этом.

Исследователи безопасности из Citizen Lab заявили в начале сентября, что у них есть Доказательства обнаружены Агенты NSO Group, используя шпионское ПО Pegasus компании, воспользовались уязвимостью, обнаруженной в обновленном и полностью исправленном программном обеспечении iPhone.

По данным Citizen Lab, уязвимость в уязвимой веб-библиотеке, которую Apple интегрирует в свои продукты, была использована без какого-либо взаимодействия со стороны владельца устройства — так называемая атака с нулевым щелчком мыши. яблоко Введены реформы безопасности для iPhone, iPad, Mac и часов и признал, что уязвимостью могли воспользоваться неизвестные хакеры.

Google также полагается на библиотеку webp в Chrome и других продуктах. Исправление ошибок началось в начале сентября, чтобы защитить своих пользователей от эксплойта, о существовании которого, по словам Google, было известно. Mozilla, которая также производит браузер Firefox и почтовый клиент Thunderbird. Ошибка исправлена В своих приложениях отметил, что Mozilla знала об уязвимости, эксплуатируемой в других продуктах.

Позже в том же месяце исследователи безопасности Google заявили, что обнаружили еще одну уязвимость, на этот раз в библиотеке libvpx, о которой, по словам Google… Они подверглись насилию Коммерческий поставщик шпионского ПО, имя которого Google отказался назвать. Вскоре после этого Google выпустил обновление, исправляющее слабую встроенную ошибку libvpx в Chrome.

Apple выпустила Обновление безопасности в среду, чтобы исправить ошибку libvpx на iPhone и iPad, а также еще одну уязвимость ядра, которая, по словам Apple, эксплуатирует устройства с программным обеспечением старше iOS 16.6.

Как оказалось, уязвимость с нулевой суммой в libvpx затронула и продукты Microsoft, хотя пока неясно, смогут ли хакеры эксплуатировать ее против пользователей продуктов Microsoft.