微软修复了Teams Edge和Skype中的零日漏洞

该公司确认，Edge、Teams和Skype等流行的微软产品中的两个零日漏洞已被发现并已修复。Microsoft解决了CVE-2023-4863和CVE-2023-5217，它们影响用于编码和解码WebP格式图像以及VP8编码视频的程序代码库。该出版物进一步补充道，大量流行软件和服务都使用了这两个库，包括Safari、Firefox、Opera、各种Android网络浏览器、1Password和Signal，还有Netflix、YouTube和AmazonPrimeVideo。

如果威胁行为者滥用这些缺陷，他们将能够在易受攻击的端点上运行任意代码执行。

一份公司公告称：“微软已经意识到并发布了与两个开源软件安全漏洞CVE-2023-4863和CVE-2023-5217相关的补丁。”

该公司进一步解释说，MicrosoftStore将在没有用户交互的情况下更新所有受影响的WebpImageExtension用户，并强调用户应首先确保启用自动更新。否则，他们将需要手动触发补丁。

几天前，来自苹果安全工程和架构(SEAR)、谷歌威胁分析小组(TAG)和公民实验室的网络安全研究人员显然首先发现了这些缺陷，这些团队表示这些缺陷正在被利用荒野。当时没有给出进一步的解释，但值得一提的是，TAG和公民实验室通常都在寻找国家资助的威胁行为者以及他们在攻击中利用的零日漏洞。

由于这些是主动利用中的零日漏洞(没有补丁的缺陷)，谷歌没有分享详细信息，也没有激励其他威胁行为者跟上潮流，这是研究人员的标准做法：“访问错误详细信息和链接可能是一直受到限制，直到大多数用户更新修复程序为止。”Google对于CVE-2023-4863表示。

“如果其他项目同样依赖但尚未修复的第三方库中存在该错误，我们也将保留限制。”