Microsoft heeft onlangs een aantal zero-day kwetsbaarheden in onder meer de browser Edge, MS Teams for Desktop en Skype for Desktop van een patch voorzien. Het betreft kwetsbaarheden in de open-source libraries die de oplossingen gebruiken.
De eerste bug die Microsoft heeft aangepakt, is CVE-2023-4863 genoemd. Deze kwetsbaarheid verwijst naar een heap buffer overflow in de WebP code library (libwebp) die onder meer crashes, maar ook het draaien van willekeurige code kunnen veroorzaken.
De libwebp-library wordt vooral gebruikt voor het coderen en decoderen van afbeeldingen in het WebP-formaat dat moderne browsers steeds vaker gebruiken. Ook password-managers gebruiken vaker dit protocol.
De tweede gepatchte bug voor alle drie de Microsoft-oplossingen betreft CVE-2023-5217. Deze kwetsbaarheid is ook een heap buffer overflow in de VP8-encosing van de libvpx video codec library. Ook deze kwetsbaarheid kan leiden tot crashes van de bewuste applicaties of het kunnen draaien van willekeurige code.
Libvpx V8 en V9 video encoding en decoding wordt gebruikt door desktop videoplayer-software en door online streamingdiensten.
Edge, Teams en Skype
De kwetsbaarheden treffen volgens de techgigant een beperkt aantal oplossingen. Meer concreet gaat het hierbij om Microsoft Edge, Microsoft Teams for Desktop, Skype for Desktop en Webp Image Extensions.
Via de Microsoft Store worden alle Webp Image Extensions-gebruikers van een update voorzien. Wel moeten gebruikers hiervoor de feature voor automatische updates hebben aanstaan.
Lees ook: Microsoft ontdekt kwetsbaarheden in ‘ncurses’ programmeerlibrary
22 uur geleden
