Hai lỗ hổng zero-day nghiêm trọng mới được phát hiện (CVE-2023-4863 và CVE-2023-5217), ảnh hưởng đến một nhóm sản phẩm của Microsoft.
Lỗ hổng đầu tiên (CVE-2023-4863) bắt nguồn từ vấn đề tràn bộ đệm heap trong thư viện mã WebP (libwebp), có thể dẫn đến các hậu quả từ crash hệ thống đột ngột đến thực thi mã tùy ý.
Các sản phẩm bị ảnh hưởng bao gồm:
- Microsoft Edge
- Microsoft Teams dành cho Desktop
- Skype cho Desktop
- Tiện ích mở rộng hình ảnh Webp (Có sẵn trên Windows và được cập nhật thông qua Microsoft Store)
Lỗ hổng thứ hai (CVE-2023-5217) liên quan đến vấn đề tràn bộ đệm heap trong mã hóa VP8 của thư viện codec video libvpx mã nguồn mở. Tương tự lỗ hổng trên, hậu quả có thể từ crash ứng dụng đơn thuần đến thực thi mã tùy ý.
Nhà nghiên cứu bảo mật của Nhóm phân tích mối đe dọa của Google (TAG), Clément Lecigne, đã phát hiện lỗ hổng này từ 25/9. Maddie Stone, một chuyên gia khác của Google TAG, đã gây chấn động khi tiết lộ rằng lỗ hổng này đã bị khai thác để cài đặt phần mềm gián điệp.
Google, Microsoft và Mozilla xác nhận rằng hai lỗ hổng zero-day CVE-2023-4863 và CVE-2023-5217 đã bị khai thác trong thực tế. Tuy nhiên, chi tiết cụ thể xung quanh các cuộc tấn công này vẫn chưa được công bố.
Microsoft vá các lỗ hổng được đề cập, người dùng cần lưu ý cập nhật sớm nhất có thể.
Nguồn: Security Online