Microsoft, Edge, Teams ve Skype için acil güvenlik güncellemeleri yayınladı. Bu güncellemeler, üç ürün tarafından kullanılan açık kaynaklı kütüphanelerdeki iki zero-day güvenlik açığını kapatmak için yayınladı.
Zafiyet CVE-2023-4863 olarak izlenirken WebP kod kütüphanesinde (libwebp). Bu zafiyet, çökmelerden RCE’kadar (arbitrary code execution) istismar edilebilmekte.
İkinci zafiyet (CVE-2023-5217), libvpx video codec kütüphanesinin VP8 kodlamasında bulunmakta. Bu zafiyet, uygulama çökmelerine veya başarılı bir saldırı sonrasında RCE’e izin veriyor.
libwebp kütüphanesi, WebP biçimindeki görüntüleri kodlama ve çözme işlemleri için birçok projede kullanılmaktadır. Bu projeler arasında Safari, Mozilla Firefox, Microsoft Edge, Opera gibi modern web tarayıcıları ve 1Password, Signal gibi popüler uygulamalar bulunmakta. libvpx ise VP8 ve VP9 video kodlama ve çözme işlemleri için masaüstü video oynatıcı yazılımları ile Netflix, YouTube ve Amazon Prime Video gibi çevrimiçi akış hizmetlerinde kullanılmakta. Bu iki güvenlik açığı, yalnızca bazı Microsoft ürününü etkilemekte (Microsoft Edge, Masaüstü için Microsoft Teams, Skype)
Microsoft Store etkilenen Webp Resim Eklentisi kullanan kullanıcılarını otomatik olarak güncelleyecek. Ancak, Microsoft Store otomatik güncellemeleri devre dışı bırakılmışsa güvenlik güncellemesi yüklenmeyecektir.
Kaynak: bleepingcomputer.com