کمیته رکن چهارم – شرکت مایکروسافت برای رفع آسیبپذیریهای روز صفر مرورگر اج و دیگر محصولاتش یک بهروزرسانی امنیتی منتشر کرد.
شرکت مایکروسافت جهت رفع دو آسیبپذیری روز صفر در مرورگر Edge با شناسههای CVE-2023-4863 و CVE-2023-5217، اقدام به انتشار بهروز رسانی امنیتی فوری کرد که جزئیات این آسیبپذیریها به شرح زیر ارائه شده است:
CVE-2023-4863: این آسیبپذیری از نوع سرریز بافر میباشد که در کتابخانه libwebp رخ میدهد. این کتابخانه در فرآیند کد کردن و بازگشایی کد تصاویر با فرمت WebP مورد استفاده قرار میگیرد. آسیبپذیری مذکور به مهاجم این امکان را میدهد تا بعد از سرریز بافر، کد مخرب خود را به سیستم تزریق کند. این کتابخانه در مرورگرهای دیگری نظیر Safari، Mozilla Firefoxو Opera نیز مورد استفاده قرار گرفته و از این رو کاربران آنها نیز ممکن است مورد هدف حملات قرار گیرند.
CVE-2023-5217: این آسیبپذیری نیز از نوع سرریز بافر میباشد که در کتابخانه libvpx رخ می دهد. این کتابخانه در فرآیند کد کردن و بازگشایی کد ویدئوها با دو فرمت VP9 وVP8 در نرم افزارهای پخش ویدئو مورد استفاده قرارمیگیرد. از این کتابخانه علاوه بر نرمافزارهای دسکتاپی پخش فیلم، در سکوهایی مانند Netflix، YouTube و Amazon Prime Video نیز استفاده شده است. این آسیبپذیری نیز همچون آسیبپذیری فوق الذکر این امکان را برای مهاجم فراهم خواهد آورد تا بعد از اجرای فرآیند سرریز بافر، کد مخرب خود را به سیستم تزریق کرده و از این طریق حملات خود را در سیستم قربانی پیادهسازی کند.
محصولات تحت تأثیر
از بین نرمافزارهای شرکت مایکروسافت، محصولات تحت تأثیر آسیبپذیری با شناسه CVE-2023-4863 میباشند:
Skype for Desktop
Webp Image Extensions
Microsoft Teams for Desktop
مرورگر Edge نیز تحت تأثیر هر دوی این آسیبپذیریها قرار دارد.
توصیههای امنیتی
شرکت مایکروسافت جهت رفع این دو آسیبپذیری، بهروزرسانیهای امنیتی خود را منتشر و به کاربران توصیه کرده است هرچه سریعتر نسبت به بهروزرسانی نرم¬افزارهای خود اقدامات لازم را انجام دهند.
منبع: افتانا