Не дожидаясь «вторника обновлений», компания Microsoft опубликовала экстренные патчи для Edge, Teams и Skype. Эти исправления устраняют две уязвимости нулевого дня в опенсорсных библиотеках, которые входят в состав всех трех перечисленных продуктов.
Первая ошибка (СVE-2023-4863) связана с переполнением буфера хипа в библиотеке WebP (libwebp) о которой мы уже рассказывали ранее. Эксплуатация этой уязвимости может привести как к обычным сбоям, так и к выполнению произвольного кода.
Вторая проблема (CVE-2023-5217), о которой мы так же предупреждали ранее, тоже связана с переполнением буфера хипа, только на этот раз в VP8 опенсорсной библиотеки видеокодеков libvpx. Влияние проблемы может варьироваться от сбоев в работе приложений до выполнения произвольного кода в системе жертвы.
Напомним, что библиотека libwebp используется в составе практически каждого приложения, ОС и других библиотек, которые работают с изображениями формата WebP. В первую очередь это относится к фреймворку Electron, который применяется в Chrome и многих других приложениях для декстопных и мобильных устройств. То есть пред багом оказались уязвимы многочисленные проекты, использующие libwebp, включая Microsoft Teams, 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera и нативные браузеры для Android и так далее.
В свою очередь, libvpx используется для кодирования и декодирования видео в форматах VP8 и VP9 в десктопных видеоплеерах и потоковых сервисах, включая Netflix, YouTube и Amazon Prime Video.
«Microsoft известно о существовании двух уязвимостей в ПО с открытым исходным кодом (CVE-2023-4863 и CVE-2023-5217), и компания выпустила соответствующие исправления», — гласит сообщение в Microsoft Security Response Center.
Отмечается, что уязвимости затрагивали лишь ограниченное число продуктов, а теперь Microsoft устранила угрозу для Edge, Microsoft Teams for Desktop, Skype for Desktop и Webp Image Extensions.