Microsoft a publié des mises à jour de sécurité d’urgence pour Edge, Teams et Skype afin de corriger deux vulnérabilités Zero Day dans les bibliothèques open source utilisées par les trois produits.

Le premier bug est une faille suivie comme CVE-2023-4863 et causé par un débordement de tampon de tas faiblesse de la bibliothèque de code WebP (libwebp), dont l’impact va des plantages à l’exécution de code arbitraire.

Le deuxième (CVE-2023-5217) est également dû à une faiblesse de dépassement de tampon de tas dans l’encodage VP8 de la bibliothèque de codecs vidéo libvpx, ce qui pourrait entraîner des plantages d’applications ou permettre l’exécution de code arbitraire après une exploitation réussie.

La bibliothèque libwebp est utilisée par un grand nombre de projets pour encoder et décoder des images au format WebP, y compris les navigateurs Web modernes comme Safari, Mozilla Firefox, Microsoft Edge, Opera et les navigateurs Web natifs Android, ainsi que des applications populaires comme 1Mot de passe et Signal.

libvpx est utilisé pour l’encodage et le décodage vidéo VP8 et VP9 par les logiciels de lecture vidéo de bureau et les services de streaming en ligne comme Netflix, YouTube et Amazon Prime Video.

« Microsoft est au courant et a publié des correctifs associés aux deux vulnérabilités de sécurité des logiciels open source, CVE-2023-4863 et CVE-2023-5217 », Redmond révélé dans un avis du Microsoft Security Response Center publié lundi.

Les deux failles de sécurité n’affectent qu’un nombre limité de produits Microsoft, la société appliquant des correctifs à Microsoft Edge, Microsoft Teams for Desktop, Skype for Desktop et Webp Image Extensions contre CVE-2023-4863 et Microsoft Edge contre CVE-2023-5217.

Le Microsoft Store mettra automatiquement à jour tous les utilisateurs d’extensions d’image Webp concernés. Cependant, la mise à jour de sécurité ne sera pas installée si les mises à jour automatiques du Microsoft Store sont désactivées.

Exploité dans des attaques de logiciels espions

Les deux vulnérabilités ont été étiquetées comme exploitées à l’état sauvage lorsqu’elles ont été révélées au début du mois. Bien qu’il n’y ait aucune information sur les attaques ciblant la faille WebP, les chercheurs du Google Threat Analysis Group (TAG) et du Citizen Lab ont révélé que les attaquants ont utilisé CVE-2023-5217 pour déployer le logiciel espion Predator de Cytrox.

« L’accès aux détails des bogues et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soit mise à jour avec un correctif », a déclaré Google en révélant pour la première fois que CVE-2023-4863 avait été exploité dans la nature.

« Nous conserverons également des restrictions si le bug existe dans une bibliothèque tierce dont dépendent également d’autres projets, mais qui n’a pas encore été corrigée. »

Même s’il n’y a aucun détail sur les attaques CVE-2023-4863, le bug a été signalé par Apple Security Engineering and Architecture (SEAR) et le Citizen Lab, ce dernier ayant fait ses preuves en matière de recherche et de divulgation de failles Zero Day exploitées dans des attaques ciblées de logiciels espions. .

Google a attribué un deuxième identifiant CVE (CVE-2023-5129) à la vulnérabilité de sécurité de libwebp, la qualifiant de bug de gravité maximale, ce qui a semé la confusion au sein de la communauté de la cybersécurité.

Bien qu’un porte-parole de Google n’ait pas répondu à une demande de commentaire, le nouvel identifiant CVE a été publié plus tard. rejeté par MITRE pour être un double de CVE-2023-4863.