Microsoft dasturiy echimlarga ta'sir qiluvchi ikkita mashhur ochiq manba kutubxonalaridagi nol kunlik zaifliklarni bartaraf etish uchun yamoqlarni chiqardi. Skype, Jamoalar va Edge brauzeri. Kompaniya zaifliklardan tajovuzkorlar tomonidan foydalanuvchilarga hujum qilish uchun foydalanilganmi yoki yo'qligi haqidagi ma'lumotni oshkor qilmadi.
O'tgan oy brauzerlar, ilovalar va smartfonlarda tasvir va videolarni qayta ishlash uchun foydalaniladigan webp va libvpx ochiq kodli kutubxonalarida nol kunlik zaifliklar aniqlandi. Google va Citizen Lab tadqiqotchilarining fikricha, bu zaifliklardan tajovuzkorlar jabrlanuvchilar qurilmalariga josuslik dasturlarini o‘rnatishda faol foydalangan.
Citizen Lab mutaxassislari o'zlarining tadqiqotlariga ko'ra, josuslik dasturlarini ishlab chiqish bilan shug'ullanuvchi Isroilning NSO Group kompaniyasi mijozlari Peg dasturidan foydalanganliklarini ma'lum qilishdi.asus yangilangan iPhone dasturiy ta'minotidagi zaiflikdan foydalanganlik uchun. Webp kutubxonasidagi ushbu zaiflikning xususiyati, integratsiyalashgan Apple, uning ishlashi qurilma egasi bilan o'zaro aloqani talab qilmasligi edi (Zero-Click hujumi).
Yirik texnologiya kompaniyalari, jumladan Google va Mozilla ham foydalanuvchilarni potentsial hujumlardan himoya qilish uchun o'z mahsulotlaridagi ushbu zaifliklarni tuzatish choralarini ko'rdi. Keyinchalik Google xavfsizlik tadqiqotchilari yana bir zaiflikni topdilar, bu safar libvpx kutubxonasida, ular Google nomini aytishdan bosh tortgan tijoriy josuslik dasturlari sotuvchisi tomonidan foydalanilayotganini aytishdi.
Men tomondan, Apple va Google o'z mahsulotlaridagi libvpx zaifligini bartaraf etish uchun xavfsizlik yangilanishlarini chiqardi. Apple shuningdek, qurilmalar yadrosidagi yana bir zaiflikni tuzatdi va zaif qurilmalar iOS 16.6 dan oldingi dasturiy ta'minot versiyalarida ishlayotganligini aytdi.
Ma'lum bo'lishicha, libvpx-dagi zaiflik mahsulotlarga ham ta'sir qilgan Microsoft. Kompaniya ushbu kutubxonalarda aniqlangan zaifliklar mavjudligini tasdiqladi va tegishli yangilanishlarni chiqardi. Biroq, dasturiy ta'minot giganti kompaniya mahsulotlari hujumga uchragan-bo'lmagani haqida izoh berishdan bosh tortdi.
Shuningdek o'qing: