按 Enter 到主內容區
:::

TWCERT-電子報

:::

Microsoft 緊急推出 Edge、Teams 更新,修復 2 個開源組件中的 0-day 漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2023-10-16
  • 點閱次數:256
Microsoft 緊急推出 Edge、Teams 更新,修復 2 個開源組件中的 0-day 漏洞 twcertcc

Microsoft 日前緊急針對旗下的 Microsoft Edge、Teams 與 Skype 緊急推出軟體更新,修復 2 個存於開源程式庫中的 0-day 漏洞。

第一個獲得修復的漏洞是 CVE-2023-4863,這個漏洞存於開源 WebP 程式庫 libwebp 中,屬於 heap 緩衝區溢位(buffer overflow)錯誤;駭侵者可透過此漏洞造成應用軟體崩潰,亦可執行任意程式碼。

值得注意的是,由於 libwebp 這個開源程式庫是用來對 WebP 格式的網路圖片進行編碼與解碼,因此應用範圍十分廣泛;除了 Microsoft 這次修復的三個產品外,包括 Safari、Mozilla Firefox、Opera、Android 原生瀏覽器之外,像是 1Password 與 Signal 等熱門應用軟體也採用了 libwebp,因此都需進行資安修補。

第二個獲得修復的漏洞是 CVE-2023-5217,這個漏洞存於開源 VP8 程式庫 libvpx 中的視訊編碼程式,和前一個漏洞一樣屬於 heap 緩衝區溢位(buffer overflow)錯誤;駭侵者也可透過此漏洞造成應用軟體崩潰,亦可執行任意程式碼。

而 libvpx 這個開源程式庫,因為負責處理 VP8 和 VP9 兩種影片格式的編解碼,因此 同樣廣泛應用在多種軟體之中,包括多種影音串流平台的 App 如 Netflix、YouTube、Amazon Prime Video 等也都使用。

目前已知有駭侵者利用這兩個影響廣泛的漏洞,來發動間諜軟體攻擊,使用者應特別提高警覺。

建議使用 Microsoft 以上產品的使用者,應儘速套用更新,以免遭到駭侵者透過已知漏洞發動攻擊。

回頁首