Microsoft는 Skype, Teams 및 Edge 브라우저를 포함하여 다양한 제품에 영향을 미치는 두 가지 인기 오픈 소스 라이브러리의 제로데이 취약점을 수정하는 패치를 출시했습니다. 그러나 마이크로소프트는 이러한 제로데이 취약점이 자사 제품을 공격하기 위해 악용됐는지, 아니면 회사가 이를 인지하고 있었는지 여부는 밝히지 않았습니다.
구글과 시티즌랩 연구원들은 개발자들에게 미리 수정 통보를 하지 않아 제로데이로 알려진 이 두 가지 취약점이 지난달 발견돼 스파이웨어로 개인을 표적으로 삼는 데 적극적으로 악용됐다고 밝혔다.
이 버그는 이미지와 비디오를 처리하기 위해 브라우저, 앱 및 휴대폰에 널리 통합되는 두 가지 일반적인 오픈 소스 라이브러리인 webp 및 libvpx에서 발견되었습니다. 이러한 라이브러리의 편재성과 취약점이 스파이웨어를 심는 데 악용되고 있다는 보안 연구원의 경고와 함께 기술 회사, 전화 제조업체 및 앱 개발자는 제품의 취약한 라이브러리를 서둘러 업데이트하도록 촉발했습니다.
마이크로소프트는 월요일 간략한 성명을 통해 webp와 libvpx 라이브러리의 두 가지 취약점에 대한 수정 사항을 출시하고 이를 자사 제품에 통합했으며 두 가지 모두 취약하다는 점을 인정했다고 밝혔습니다. 논평을 요청했을 때 Microsoft 대변인은 자사 제품이 외부에서 악용되었는지 또는 회사가 상황을 알 수 있는 능력이 있는지 여부를 밝히기를 거부했습니다.
CitizenLab의 보안 연구원들은 9월 초 NSOGroup의 고객이 회사의 PegASUS 스파이웨어를 사용하여 완전히 패치된 최신 iPhone 소프트웨어에서 발견된 취약점을 악용했다는 증거를 발견했다고 밝혔습니다.
CitizenLab에 따르면 Apple이 자사 제품에 통합한 취약한 webp 라이브러리의 취약점은 장치 소유자의 상호 작용 없이 소위 제로 클릭 공격으로 악용될 수 있습니다. Apple은 iPhone, iPad, Mac 및 Watch에 대한 보안 수정 사항을 발표했으며 이 결함이 알려지지 않은 해커에 의해 악용되었을 수 있음을 인정했습니다.
Chrome 및 기타 제품에서 webp 라이브러리를 사용하는 Google도 Google이 '외부적으로' 알고 있다고 밝힌 취약점으로부터 사용자를 보호하기 위해 9월 초부터 버그 패치를 시작했습니다. Firefox 브라우저와 Thunderbird 이메일 클라이언트를 실행하는 Mozilla도 자사 애플리케이션의 버그를 패치했으며, Mozilla는 이 버그가 다른 제품에서도 악용되었다는 사실을 알고 있다고 밝혔습니다.
이번 달 말, 구글 보안 연구원들은 이번에는 libvpx 라이브러리에서 또 다른 취약점을 발견했다고 밝혔습니다. 구글은 이 취약점이 상업용 스파이웨어 공급업체에 의해 악용되었다고 밝혔으며 구글은 이름을 밝히기를 거부했습니다. Google은 Chrome에 통합된 취약한 libvpx 버그를 수정하기 위한 업데이트를 신속하게 출시했습니다.
Apple은 수요일 iPhone 및 iPad의 libvpx 버그와 iOS 16.6 이전 소프트웨어를 실행하는 장치를 악용했다고 Apple이 밝힌 또 다른 커널 취약점을 수정하는 보안 업데이트를 발표했습니다.
libvpx의 제로데이 취약점은 Microsoft 제품에도 영향을 미치는 것으로 밝혀졌지만 해커가 이를 악용하여 회사 제품 사용자를 공격할 수 있었는지는 확실하지 않습니다.