مایکروسافت وصله‌هایی را برای رفع آسیب‌پذیری‌های روز صفر در دو کتابخانه منبع باز محبوب منتشر کرد که بر چندین محصول مایکروسافت از جمله Skype، Teams و مرورگر Edge تأثیر می‌گذارد. اما مایکروسافت نمی گوید که آیا این روزهای صفر برای هدف قرار دادن محصولاتش مورد سوء استفاده قرار گرفته است یا این که آیا این شرکت هر دو راه را می داند.

به گفته محققان Google و Citizen Lab، این دو آسیب‌پذیری – که به‌عنوان روز صفر شناخته می‌شوند، از زمانی که توسعه‌دهندگان هیچ اطلاعیه قبلی برای رفع اشکال‌ها نداشتند – ماه گذشته کشف شدند و هر دو باگ به طور فعال برای هدف قرار دادن افراد با نرم‌افزارهای جاسوسی مورد سوء استفاده قرار گرفتند.

باگ‌ها در دو کتابخانه متن‌باز متداول webp و libvpx کشف شدند که به‌طور گسترده در مرورگرها، برنامه‌ها و تلفن‌ها برای پردازش تصاویر و ویدیوها ادغام شده‌اند. فراگیر بودن این کتابخانه ها همراه با هشداری از سوی محققان امنیتی مبنی بر سوء استفاده از باگ ها برای نصب نرم افزارهای جاسوسی باعث شد تا شرکت های فناوری، سازندگان تلفن و توسعه دهندگان اپلیکیشن هجوم ببرند تا کتابخانه های آسیب پذیر محصولات خود را به روز کنند.

مایکروسافت در بیانیه‌ای کوتاه روز دوشنبه اعلام کرد که اصلاحاتی را برای رفع دو آسیب‌پذیری در کتابخانه‌های webp و libvpx که در محصولات خود ادغام کرده بود، ارائه کرده است و اذعان کرد که برای هر دو آسیب‌پذیری سوءاستفاده‌ها وجود دارد.

هنگامی که برای اظهار نظر تماس گرفت، سخنگوی مایکروسافت از گفتن اینکه آیا محصولاتش در طبیعت مورد سوء استفاده قرار گرفته اند یا این که آیا این شرکت توانایی این را دارد، خودداری کرد.

محققان امنیتی در آزمایشگاه Citizen در اوایل سپتامبر گفتند که شواهدی را کشف کرده‌اند که نشان می‌دهد مشتریان گروه NSO با استفاده از نرم‌افزار جاسوسی Pegasus این شرکت، از یک آسیب‌پذیری موجود در نرم‌افزار یک آیفون به‌روز و کاملاً وصله‌شده سوءاستفاده کرده‌اند.

طبق گفته Citizen Lab، باگ موجود در کتابخانه آسیب‌پذیر webp که اپل در محصولات خود ادغام می‌کند، بدون نیاز به هیچ گونه تعاملی از طرف صاحب دستگاه مورد سوء استفاده قرار گرفت - به اصطلاح یک حمله صفر کلیک. اپل اصلاحات امنیتی را برای آیفون، آیپد، مک و ساعت ارائه کرد و اذعان کرد که ممکن است هکرهای ناشناس از این باگ سوء استفاده کرده باشند.

گوگل که به کتابخانه webp در کروم و سایر محصولات متکی است، در اوایل سپتامبر شروع به اصلاح این باگ کرد تا از کاربران خود در برابر سوء استفاده ای محافظت کند که گوگل اعلام کرد از وجود آن در طبیعت آگاه است. موزیلا که مرورگر فایرفاکس و سرویس گیرنده ایمیل Thunderbird را تولید می کند، باگ را در برنامه های خود اصلاح کرد و اشاره کرد که موزیلا از سوء استفاده از این اشکال در محصولات دیگر آگاه بوده است.

در اواخر ماه، محققان امنیتی گوگل گفتند که آسیب‌پذیری دیگری را پیدا کرده‌اند، این بار در کتابخانه libvpx، که گوگل گفته است توسط یک فروشنده نرم‌افزار جاسوسی تجاری مورد سوء استفاده قرار گرفته است، که گوگل از ذکر نام آن خودداری کرده است. گوگل به‌زودی به‌روزرسانی را برای رفع باگ آسیب‌پذیر libvpx که در کروم ادغام شده بود، ارائه کرد.

اپل روز چهارشنبه یک به‌روزرسانی امنیتی برای رفع باگ libvpx در آیفون‌ها و آی‌پدها به همراه آسیب‌پذیری هسته دیگری منتشر کرد که به گفته اپل، دستگاه‌هایی که نرم‌افزارهایی را زودتر از iOS 16.6 اجرا می‌کردند، مورد سوء استفاده قرار می‌ گرفت.

همانطور که مشخص شد، روز صفر در libvpx محصولات مایکروسافت را نیز تحت تاثیر قرار داد، اگرچه هنوز مشخص نیست که آیا هکرها می‌توانند از آن علیه کاربران محصولات مایکروسافت سوء استفاده کنند یا خیر.

خبرکاو