• 發布單位:TWCERT/CC
• 更新日期:2023-10-16
• 點閱次數:242

Microsoft 日前緊急針對旗下的 Microsoft Edge、Teams 與 Skype 緊急推出軟體更新，修復 2 個存於開源程式庫中的 0-day 漏洞。

第一個獲得修復的漏洞是 CVE-2023-4863，這個漏洞存於開源 WebP 程式庫 libwebp 中，屬於 heap 緩衝區溢位（buffer overflow）錯誤；駭侵者可透過此漏洞造成應用軟體崩潰，亦可執行任意程式碼。

值得注意的是，由於 libwebp 這個開源程式庫是用來對 WebP 格式的網路圖片進行編碼與解碼，因此應用範圍十分廣泛；除了 Microsoft 這次修復的三個產品外，包括 Safari、Mozilla Firefox、Opera、Android 原生瀏覽器之外，像是 1Password 與 Signal 等熱門應用軟體也採用了 libwebp，因此都需進行資安修補。

第二個獲得修復的漏洞是 CVE-2023-5217，這個漏洞存於開源 VP8 程式庫 libvpx 中的視訊編碼程式，和前一個漏洞一樣屬於 heap 緩衝區溢位（buffer overflow）錯誤；駭侵者也可透過此漏洞造成應用軟體崩潰，亦可執行任意程式碼。

而 libvpx 這個開源程式庫，因為負責處理 VP8 和 VP9 兩種影片格式的編解碼，因此 同樣廣泛應用在多種軟體之中，包括多種影音串流平台的 App 如 Netflix、YouTube、Amazon Prime Video 等也都使用。

目前已知有駭侵者利用這兩個影響廣泛的漏洞，來發動間諜軟體攻擊，使用者應特別提高警覺。

建議使用 Microsoft 以上產品的使用者，應儘速套用更新，以免遭到駭侵者透過已知漏洞發動攻擊。