شرکت مایکروسافت جهت رفع دو آسیبپذیری روز صفر در مرورگر Edge با شناسههای CVE-2023-4863 و CVE-2023-5217، اقدام به انتشار بهروز رسانی امنیتی فوری کرد که جزئیات این آسیبپذیریها به شرح زیر ارائه شده است:
- CVE-2023-4863: این آسیبپذیری از نوع سرریز بافر میباشد که در کتابخانه libwebpرخ میدهد. این کتابخانه در فرآیند کد کردن و بازگشایی کد تصاویر با فرمت WebP مورد استفاده قرار میگیرد. آسیبپذیری مذکور به مهاجم این امکان را میدهد تا بعد از سرریز بافر، کد مخرب خود را به سیستم تزریق کند. این کتابخانه در مرورگرهای دیگری نظیر Safari، Mozilla Firefoxو Opera نیز مورد استفاده قرار گرفته و از این رو کاربران آنها نیز ممکن است مورد هدف حملات قرار گیرند.
- CVE-2023-5217: این آسیبپذیری نیز از نوع سرریز بافر میباشد که در کتابخانه libvpxرخ می دهد. این کتابخانه در فرآیند کد کردن و بازگشایی کد ویدئوها با دو فرمت VP9 وVP8 در نرم افزارهای پخش ویدئو مورد استفاده قرارمیگیرد. از این کتابخانه علاوه بر نرمافزارهای دسکتاپی پخش فیلم، در سکوهایی مانند Netflix، YouTube و Amazon Prime Video نیز استفاده شده است. این آسیبپذیری نیز همچون آسیبپذیری فوق الذکر این امکان را برای مهاجم فراهم خواهد آورد تا بعد از اجرای فرآیند سرریز بافر، کد مخرب خود را به سیستم تزریق کرده و از این طریق حملات خود را در سیستم قربانی پیادهسازی کند.
محصولات تحت تأثیر
از بین نرمافزارهای شرکت مایکروسافت، محصولات تحت تأثیر آسیبپذیری با شناسه CVE-2023-4863 میباشند:
- Skype for Desktop
- Webp Image Extensions
- Microsoft Teams for Desktop
مرورگر Edge نیز تحت تأثیر هر دوی این آسیبپذیریها قرار دارد.
توصیههای امنیتی
شرکت مایکروسافت جهت رفع این دو آسیبپذیری، بهروزرسانیهای امنیتی خود را منتشر و به کاربران توصیه کرده است پس از بررسی لینک زیر، هرچه سریعتر نسبت به بهروزرسانی نرم¬افزارهای خود اقدامات لازم را انجام دهند:
https://msrc.microsoft.com/update-guide/vulnerability
منابع خبر:
[1]https://www.bleepingcomputer.com/news/microsoft/microsoft-edge-teams-get-fixes-for-zero-days-in-ope…
[2]https://msrc.microsoft.com/blog/2023/10/microsofts-response-to-open-source-vulnerabilities-cve-2023…
- 45