حقوق الصورة: برايس دوربين / تك كرانش
أصدرت Microsoft تصحيحات لإصلاح ثغرات يوم الصفر في مكتبتين شائعتين مفتوحتي المصدر تؤثران على العديد من منتجات Microsoft، بما في ذلك Skype وTeams ومتصفح Edge. لكن مايكروسوفت لن تقول ما إذا كانت أيام الصفر تلك قد استخدمت لاستهداف منتجاتها أو ما إذا كانت الشركة على علم بأي شكل من الأشكال.
تم اكتشاف الثغرات الأمنية في الشهر الماضي – والتي يطلق عليها اسم Zero-days لأن المطورين ليس لديهم إشعار مسبق لإصلاح الأخطاء – ويتم استخدام كلا الخللين بشكل نشط لاستهداف الأشخاص ببرامج التجسس، وفقًا لباحثي Google وCitizen Lab.
تم العثور على الأخطاء في webp و libvpx، وهما مكتبتان شائعتان مفتوحتان المصدر ومدمجتان على نطاق واسع في المتصفحات والتطبيقات والهواتف لمعالجة الصور ومقاطع الفيديو. إن انتشار هذه المكتبات في كل مكان وتحذيرات الباحثين الأمنيين من إساءة استخدام الأخطاء لتثبيت برامج التجسس، دفع شركات التكنولوجيا وصانعي الهواتف ومطوري التطبيقات إلى تحديث المكتبات الضعيفة في منتجاتهم.
أ تقرير موجز يوم الاثنين، عالجت مايكروسوفت اثنتين من نقاط الضعف في مكتبتي webp و libvpx المدمجتين في منتجاتها واعترفت بوجود ثغرات. كلاهما تأثيرات.
وعندما تم الاتصال بالمتحدث الرسمي باسم Microsoft للتعليق، رفض تحديد ما إذا كانت منتجاتها قد تم استغلالها على نطاق واسع أو ما إذا كانت الشركة لديها القدرة على معرفة ذلك.
وقال باحثون أمنيون في Citizen Labs إنهم حصلوا عليها في أوائل سبتمبر تم العثور على أدلة استخدم عملاء NSO Group برنامج التجسس Pegasus الخاص بالشركة لاستغلال الثغرة الأمنية الموجودة في برنامج جهاز iPhone محدث ومصحح بالكامل.
وفقًا لـ Citizen Lab، تم استغلال خطأ في مكتبة webp الضعيفة التي تدمجها Apple في منتجاتها دون الحاجة إلى أي تفاعل من مالك الجهاز، وهو ما يسمى بهجوم النقر الصفري. تفاحة تم إجراء إصلاحات أمنية أجهزة iPhone وiPad وMac والساعات، ومن المسلم به أن الثغرة ربما تم استغلالها من قبل قراصنة غير معروفين.
تعتمد Google على مكتبة webp في Chrome والمنتجات الأخرى بدأت الشائكة خطأ وفي أوائل سبتمبر، قالت جوجل إنها كانت على علم بوجود ثغرة أمنية “في البرية” لحماية مستخدميها. تقوم Mozilla أيضًا بتصنيع متصفح Firefox وعميل البريد الإلكتروني Thunderbird لصق الخطأ وعلمت موزيلا أنه تم استغلال الثغرة في تطبيقاتها ومنتجاتها الأخرى.
وفي وقت لاحق من الشهر، قال باحثون أمنيون في Google إنهم اكتشفوا ثغرة أمنية أخرى، هذه المرة في مكتبة libvpx. أساء بواسطة بائع برامج تجسس تجاري رفضت Google ذكر اسمه. أصدرت Google تحديثًا لإصلاح خطأ libvpx الضعيف المدمج في Chrome قريبًا.
أصدرت شركة أبل أ ترقية الأمان إلى جانب ثغرة أمنية أخرى في kernel، قالت شركة Apple إنها استغلت الأجهزة التي تعمل ببرامج أقدم من iOS 16.6 لإصلاح خطأ libvpx في أجهزة iPhone وiPad يوم الأربعاء.
أثر يوم الصفر في libvpx أيضًا على منتجات Microsoft، على الرغم من أنه من غير الواضح ما إذا كان المتسللون يمكنهم استغلاله ضد مستخدمي منتجات Microsoft.
