Microsoft a publié des correctifs pour corriger les vulnérabilités du jour zéro dans deux bibliothèques open source populaires qui affectent une variété de produits, notamment Skype, Teams et son navigateur Edge. Mais Microsoft n'a pas précisé si ces vulnérabilités du jour zéro avaient été exploitées pour attaquer ses produits ou si l'entreprise en avait connaissance.
Les chercheurs de Google et Citizen Lab affirment que les deux vulnérabilités, connues sous le nom de zero-day parce que les développeurs n'ont pas été informés à l'avance pour les corriger, ont été découvertes le mois dernier et ont été activement exploitées pour cibler des individus avec des logiciels espions.
Les bogues ont été découverts dans deux bibliothèques open source courantes, webp et libvpx, largement intégrées aux navigateurs, applications et téléphones mobiles pour traiter les images et les vidéos. L'omniprésence de ces bibliothèques, associée aux avertissements des chercheurs en sécurité selon lesquels les vulnérabilités sont exploitées pour implanter des logiciels espions, a incité les entreprises technologiques, les fabricants de téléphones et les développeurs d'applications à se précipiter pour mettre à jour les bibliothèques vulnérables de leurs produits.
Microsoft a déclaré lundi dans un bref communiqué avoir déployé des correctifs pour deux vulnérabilités dans les bibliothèques webp et libvpx et les avoir intégrés dans ses produits, reconnaissant que les deux étaient vulnérables. Lorsqu'on l'a contacté pour commenter, un porte-parole de Microsoft a refusé de dire si ses produits avaient été exploités en externe ou si l'entreprise avait la possibilité de se renseigner sur la situation.
Les chercheurs en sécurité de CitizenLab ont déclaré début septembre avoir trouvé des preuves que les clients de NSOGroup utilisaient le logiciel espion PegASUS de la société pour exploiter les vulnérabilités découvertes dans le dernier logiciel iPhone entièrement corrigé.
Selon CitizenLab, une vulnérabilité dans la bibliothèque webp vulnérable qu'Apple intègre dans ses produits peut être exploitée sans aucune interaction de la part du propriétaire de l'appareil, ce qu'on appelle une attaque sans clic. Apple a déployé des correctifs de sécurité pour les iPhones, iPads, Mac et montres et a reconnu que la faille pourrait avoir été exploitée par des pirates inconnus.
Google, qui s'appuie sur la bibliothèque webp de Chrome et d'autres produits, a également commencé à corriger le bug début septembre pour protéger ses utilisateurs d'une vulnérabilité dont Google a déclaré avoir connaissance "en externe". Mozilla, qui exécute le navigateur Firefox et le client de messagerie Thunderbird, a également corrigé le bug dans ses applications, notant que Mozilla est conscient que le bug a été exploité dans d'autres produits.
Plus tard ce mois-ci, les chercheurs en sécurité de Google ont déclaré avoir découvert une autre vulnérabilité, cette fois dans la bibliothèque libvpx, qui, selon Google, avait été exploitée par un fournisseur commercial de logiciels espions, que Google a refusé de nommer. Google a rapidement déployé une mise à jour pour corriger un bug vulnérable de libvpx intégré à Chrome.
Apple a publié mercredi une mise à jour de sécurité qui corrige un bogue libvpx dans les iPhones et iPads, ainsi qu'une autre vulnérabilité du noyau qui, selon Apple, exploitait les appareils exécutant des logiciels antérieurs à iOS 16.6.
Il s'avère que la vulnérabilité Zero Day de libvpx affecte également les produits Microsoft, mais il n'est pas clair si les pirates ont pu l'exploiter pour attaquer les utilisateurs des produits de l'entreprise.