Microsoft a publié des mises à jour de sécurité d’urgence pour Edge, Teams et Skype afin de corriger deux vulnérabilités Zero Day dans les bibliothèques open source utilisées par les trois produits.
Le premier bug est une faille identifiée comme CVE-2023-4863 et provoquée par une faiblesse de dépassement de tampon du tas dans la bibliothèque de code WebP (libwebp), dont l’impact va des plantages à l’exécution de code arbitraire.
Le second (CVE-2023-5217) est également causé par une faiblesse de dépassement de tampon de tas dans le codage VP8 de la bibliothèque de codecs vidéo libvpx, ce qui pourrait entraîner des plantages d’applications ou permettre l’exécution de code arbitraire après une exploitation réussie.
La bibliothèque libwebp est utilisée par un grand nombre de projets pour encoder et décoder des images au format WebP, y compris les navigateurs Web modernes comme Safari, Mozilla Firefox, Microsoft Edge, Opera et les navigateurs Web natifs d’Android, ainsi que des applications populaires comme 1Password. et Signal.
libvpx est utilisé pour l’encodage et le décodage vidéo VP8 et VP9 par les logiciels de lecture vidéo de bureau et les services de streaming en ligne comme Netflix, YouTube et Amazon Prime Video.
« Microsoft est au courant et a publié des correctifs associés aux deux vulnérabilités de sécurité des logiciels open source, CVE-2023-4863 et CVE-2023-5217 », a révélé Redmond dans un avis du Microsoft Security Response Center publié lundi.
Les deux failles de sécurité n’affectent qu’un nombre limité de produits Microsoft, la société appliquant des correctifs à Microsoft Edge, Microsoft Teams for Desktop, Skype for Desktop et Webp Image Extensions contre CVE-2023-4863 et Microsoft Edge contre CVE-2023-5217.
Le Microsoft Store mettra automatiquement à jour tous les utilisateurs d’extensions d’image Webp concernés. Cependant, la mise à jour de sécurité ne sera pas installée si les mises à jour automatiques du Microsoft Store sont désactivées.
Exploité dans des attaques de logiciels espions
Les deux vulnérabilités ont été marquées comme exploitées à l’état sauvage lorsqu’elles ont été révélées au début du mois, bien qu’il n’y ait aucun détail sur ces attaques.
Cependant, les bugs ont été signalés par Apple Security Engineering and Architecture (SEAR), Google Threat Analysis Group (TAG) et Citizen Lab, les deux dernières équipes de recherche ayant fait leurs preuves en matière de recherche et de divulgation de failles Zero Day exploitées dans des attaques ciblées de logiciels espions. .
« L’accès aux détails des bogues et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soit mise à jour avec un correctif », a déclaré Google en révélant que CVE-2023-4863 avait été exploité dans la nature.
« Nous conserverons également des restrictions si le bug existe dans une bibliothèque tierce dont dépendent également d’autres projets, mais qui n’a pas encore été corrigée. »
Google a attribué un deuxième identifiant CVE (CVE-2023-5129) à la vulnérabilité de sécurité de libwebp, la qualifiant de bug de gravité maximale, ce qui a semé la confusion au sein de la communauté de la cybersécurité.
Bien qu’un porte-parole de Google n’ait pas répondu à une demande de commentaire, le nouvel identifiant CVE a ensuite été rejeté par MITRE car il s’agissait d’un double du CVE-2023-4863.
Mise à jour : article révisé pour supprimer le lien incorrect entre les attaques de logiciels espions CVE-2023-5217 et Predator.