Sicherheitsupdates für Microsoft Edge und Teams beheben Zero-Day-Lücken in Open-Source-Lib

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von Gunter Born, 3. Oktober 2023 .

  1. 3. Oktober 2023
    Microsoft veröffentlicht Notfall-Sicherheitsupdates für Edge, Teams und Skype, um zwei Zero-Day-Schwachstellen in Open-Source-Bibliotheken zu beheben, die von den drei Produkten verwendet werden.

    Die erste am Montag behobene Schwachstelle ist ein Fehler, der als CVE-2023-4863 verfolgt wird und durch eine Schwachstelle für heap buffer overflow in der WebP-Code-Bibliothek (libwebp) verursacht wird. Die Auswirkungen reichen von Abstürzen bis zur Ausführung beliebigen Codes.

    Die zweite Schwachstelle (CVE-2023-5217) wird ebenfalls durch eine Schwachstelle für heap buffer overflow im VP8-Encoding der libvpx-Video-Codec-Bibliothek verursacht, die zu App-Abstürzen führen oder eine Ausführung beliebigen Codes ermöglichen kann.

    Die libwebp-Bibliothek wird von einer Vielzahl von Projekten zum Codieren und Decodieren von Bildern im WebP-Format verwendet, darunter moderne Webbrowser wie Safari, Mozilla Firefox, Microsoft Edge, Opera und die nativen Android-Webbrowser sowie beliebte Apps wie 1Password und Signal.

    Libvpx wird für die Video-Codierung und -Decodierung von VP8 und VP9 durch Desktop-Video-Player-Software und Online-Streaming-Dienste wie Netflix, YouTube und Amazon Prime Video verwendet.

    "Microsoft ist sich bewusst und hat Patches für die beiden Open-Source-Software-Sicherheitslücken, CVE-2023-4863 und CVE-2023-5217, veröffentlicht", enthüllte Redmond in einem Advisory des Microsoft Security Response Center.

    Die beiden Sicherheitslücken betreffen nur eine begrenzte Anzahl von Microsoft-Produkten. Das Unternehmen hat Microsoft Edge, Microsoft Teams für Desktop, Skype für Desktop und Webp Image Extensions gegen CVE-2023-4863 gepatcht, sowie Microsoft Edge gegen CVE-2023-5217.

    Der Microsoft Store aktualisiert automatisch alle betroffenen Benutzer von Webp Image Extensions. Das Sicherheitsupdate wird jedoch nicht installiert, wenn die automatischen Updates des Microsoft Stores deaktiviert sind.
    In Spyware-Angriffen ausgenutzt

    Beide Schwachstellen wurden als in freier Wildbahn ausgenutzt gekennzeichnet, als sie Anfang dieses Monats bekannt gegeben wurden. Während es keine Informationen über Angriffe gibt, die die WebP-Schwachstelle zum Ziel haben, haben das Google Threat Analysis Group (TAG) und Forscher des Citizen Lab enthüllt, dass Angreifer CVE-2023-5217 verwendet haben, um die Spyware Predator von Cytrox zu verbreiten.

    "Der Zugriff auf Fehlerdetails und Links kann eingeschränkt bleiben, bis die Mehrheit der Benutzer mit einem Fix aktualisiert wurde", sagte Google, als sie zum ersten Mal bekannt gaben, dass CVE-2023-4863 in freier Wildbahn ausgenutzt wurde.

    "Wir behalten auch Einschränkungen bei, wenn der Fehler in einer Drittanbieter-Bibliothek besteht, von der andere Projekte ebenfalls abhängig sind, die aber noch nicht behoben wurden."

    Obwohl es keine Details zu Angriffen auf CVE-2023-4863 gibt, wurde der Fehler von Apple Security Engineering and Architecture (SEAR) und dem Citizen Lab gemeldet, letzteres mit einer nachgewiesenen Erfolgsbilanz bei der Entdeckung und Offenlegung von Zero-Days, die bei gezielten Spyware-Angriffen ausgenutzt wurden.

    Google hat eine zweite CVE-ID (CVE-2023-5129) dem Sicherheitsproblem von libwebp zugeordnet, das als maximaler Schweregrad-Bug eingestuft wurde, was in der Cybersicherheitsgemeinschaft zu Verwirrung führte.

    Obwohl ein Google-Sprecher nicht auf eine Anfrage nach einem Kommentar geantwortet hat, hat Google die neue CVE-ID später aufgrund eines Duplikats von CVE-2023-4863 zurückgezogen.
     
    + Multi-Zitat Zitieren
  3. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.

Auf dieses Thema antworten