Microsoft แพตช์แก้ไขช่องโหว่เร่งด่วน 2 รายการให้ Edge, Teams และ Skype

Microsoft ได้แก้ไขช่องโหว่ Heap Buffer Overflow 2 รายการอย่างเร่งด่วนในไลบรารีที่ผลิตภัณฑ์ของตนเกี่ยวข้อง ทั้งนี้มีรายงานพบว่าช่องโหว่ได้ถูกนำไปใช้โจมตีจริงแล้ว

Credit: ShutterStock.com

ช่องโหว่มี 2 รายการคือ

  • CVE-2023-4863 เป็นช่องโหว่ Heap Buffer Overflow ที่เกิดขึ้นในไลบรารี WebP ที่อาจทำให้เกิดการหยุดชะงักหรือลอบรันโค้ดได้ ซึ่ง WebP เป็นฟอร์เมตของรูปภาพที่ใช้กันอย่างแพร่หลายที่รองรับในบราวเซอร์สมัยใหม่ โดยช่องโหว่นี้กระทบกับ Edge, Teams for Desktop, Skype for Desktop และ WebP Extension 
  • CVE-2023-5217 เป็นช่องโหว่ Heap Buffer Overflow ที่เกิดขึ้นในไลบรารี libvpx ที่อาจทำให้เกิดการหยุดชะงักหรือลอบรันโค้ดได้ ซึ่งมักถูกใช้ในงาน Video Encoding VP8 และ VP9 ผ่านซอฟต์แวร์เล่นวีดีโอในเดสก์ท็อปและบริการสตรีมมิ่งต่างๆ โดยช่องโหว่นี้กระทบกับ Microsoft Edge 

อย่างไรก็ตามผู้ร่วมรายงานช่องโหว่อย่าง Google Threat Analysis Group (TAG) ได้กล่าวถึงว่ามีการพบหลักฐานที่ช่องโหว่ CVE-2023-4863 ถูกใช้งานจริงแล้ว โดยปกติผู้ใช้งานน่าจะได้รับการอัปเดตโดยอัตโนมัติหากเปิดเงื่อนไข ‘Automatic Update’ ให้ Microsoft Store ดังนั้นผู้ใช้ควรตรวจสอบ

ที่มา : https://www.bleepingcomputer.com/news/microsoft/microsoft-edge-teams-get-fixes-for-zero-days-in-open-source-libraries/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้