Microsoft は、Skype、Teams、およびその Edge ブラウザーを含むさまざまな製品に影響を与える 2 つの人気のあるオープンソース ライブラリのゼロデイ脆弱性を修正するパッチをリリースしました。しかしMicrosoftは、これらのゼロデイ脆弱性が悪用されて同社製品が攻撃されたのか、あるいは同社がそれらの脆弱性を認識していたかどうかについては明らかにしなかった。
GoogleとCitizen Labの研究者らによると、この2つの脆弱性は開発者に修正するよう事前に通知されていなかったためゼロデイとして知られ、先月発見され、スパイウェアを使用した個人を標的にするために積極的に悪用されているという。
このバグは、webp と libvpx という 2 つの一般的なオープンソース ライブラリで発見されました。これらのライブラリは、画像やビデオを処理するためにブラウザ、アプリ、携帯電話に広く統合されています。これらのライブラリが遍在していることに加え、この脆弱性が悪用されてスパイウェアが仕込まれているというセキュリティ研究者らの警告を受けて、ハイテク企業、携帯電話メーカー、アプリ開発者は自社製品の脆弱なライブラリのアップデートを急ぐことになった。
Microsoftは月曜日の短い声明で、webpライブラリとlibvpxライブラリの2つの脆弱性に対する修正を公開し、それらを自社製品に統合したと述べ、両方に脆弱性があることを認めた。 Microsoftの広報担当者はコメントを求められたが、自社製品が外部から悪用されたかどうか、あるいは同社に状況を把握する能力があったかどうかについては明言を避けた。
CitizenLabのセキュリティ研究者らは9月初旬、NSOGroupの顧客が同社のPegASUSスパイウェアを使用して、完全にパッチが適用された最新のiPhoneソフトウェアに見つかった脆弱性を悪用した証拠を発見したと発表した。
CitizenLab によると、Apple が自社製品に統合している脆弱な WebP ライブラリの脆弱性は、デバイス所有者の介入なしに悪用される可能性があり、いわゆるゼロクリック攻撃と呼ばれます。 AppleはiPhone、iPad、Mac、Watchのセキュリティ修正を公開し、この欠陥が未知のハッカーによって悪用された可能性があることを認めた。
Chrome やその他の製品の webp ライブラリに依存している Google も、Google が「外部的に」認識していると述べた脆弱性からユーザーを守るために、9 月初旬にこのバグへのパッチ適用を開始した。 Firefox ブラウザと Thunderbird 電子メール クライアントを実行している Mozilla も、このバグが他の製品で悪用されていることを認識していると述べ、自社のアプリケーションのバグにパッチを適用しました。
今月下旬、Google のセキュリティ研究者らは、今度は libvpx ライブラリに別の脆弱性を発見したと発表した。Google は、この脆弱性が商用スパイウェア ベンダーによって悪用されたと発表したが、Google は名前を明かさなかった。 Google は、Chrome に統合されている脆弱な libvpx のバグを修正するアップデートをすぐに公開しました。
Appleは水曜日、iPhoneとiPadのlibvpxのバグと、iOS 16.6より前のソフトウェアを実行しているデバイスが悪用したとAppleが述べた別のカーネルの脆弱性を修正するセキュリティアップデートをリリースした。
libvpx のゼロデイ脆弱性は Microsoft 製品にも影響を与えることが判明しましたが、ハッカーがこの脆弱性を悪用して同社製品のユーザーを攻撃できたかどうかは不明です。