Af Eskil Sørensen, 04/10/23
Microsoft følger nu i halen af leverandører, der opdaterer deres løsninger i forlængelse af offentliggørelsen af sårbarheder i open source-biblioteker. Det skriver Bleeping Computer.
Sårbarhederne har været kendt i et par uger nu og har id’erne CVE-2023-4863 og CVE-2023-5217. Begge med en CVSS-score på 8,8. Dvs. de betegnes som ’high’, men ikke ’critical’ (som gælder sårbarheder med en score på mellem 9 og det maksimale 10.)
Den første sårbarhed er forårsaget af en svaghed i heap-bufferoverløb i WebP-kodebiblioteket (libwebp). Virkningen ved udnyttelse spænder fra nedbrud til vilkårlig kodeudførelse. Den anden (CVE-2023-5217) sårbarhed er også forårsaget af heap-bufferoverløbssvaghed. Den findes i VP8-kodningen af libvpx-videocodec-biblioteket. Den kan føre til appnedbrud eller muliggøre vilkårlig kodeudførelse efter vellykket udnyttelse.
Mange produkter opdateres
Som det er med tredjepartsbiblioteker, anvendes de i et stort antal produkter. For Libwebp-bibliotekets vedkommende bruges det til kodning og afkodning af billeder i WebP-formatet i webbrowsere som Safari, Mozilla Firefox, Microsoft Edge, Opera og de oprindelige Android-webbrowsere samt apps som 1Password og Signal. Det andet produkt libvpx bruges til VP8 og VP9 videokodning og afkodning af desktop videoafspillersoftware og online streamingtjenester som Netflix, YouTube og Amazon Prime Video.
Dvs. at der er mange produkter, der enten har eller kommer til at udsende sikkerhedsopdateringer i den kommende tid.
For Microsofts vedkommende handler det ifølge Microsoft selv om ’et begrænset’ antal Microsoft-produkter, herunder Microsoft Edge, Microsoft Teams for Desktop, Skype til Desktop og Webp Image Extensions, som der er udsendt rettelser til.
Links: