Microsoft แพตช์แก้ไขช่องโหว่เร่งด่วน 2 รายการให้ Edge, Teams และ Skype

Microsoft ได้แก้ไขช่องโหว่ Heap Buffer Overflow 2 รายการอย่างเร่งด่วนในไลบรารีที่ผลิตภัณฑ์ของตนเกี่ยวข้อง ทั้งนี้มีรายงานพบว่าช่องโหว่ได้ถูกนำไปใช้โจมตีจริงแล้ว

ช่องโหว่มี 2 รายการคือ

• CVE-2023-4863 เป็นช่องโหว่ Heap Buffer Overflow ที่เกิดขึ้นในไลบรารี WebP ที่อาจทำให้เกิดการหยุดชะงักหรือลอบรันโค้ดได้ ซึ่ง WebP เป็นฟอร์เมตของรูปภาพที่ใช้กันอย่างแพร่หลายที่รองรับในบราวเซอร์สมัยใหม่ โดยช่องโหว่นี้กระทบกับ Edge, Teams for Desktop, Skype for Desktop และ WebP Extension 
• CVE-2023-5217 เป็นช่องโหว่ Heap Buffer Overflow ที่เกิดขึ้นในไลบรารี libvpx ที่อาจทำให้เกิดการหยุดชะงักหรือลอบรันโค้ดได้ ซึ่งมักถูกใช้ในงาน Video Encoding VP8 และ VP9 ผ่านซอฟต์แวร์เล่นวีดีโอในเดสก์ท็อปและบริการสตรีมมิ่งต่างๆ โดยช่องโหว่นี้กระทบกับ Microsoft Edge 

อย่างไรก็ตามผู้ร่วมรายงานช่องโหว่อย่าง Google Threat Analysis Group (TAG) ได้กล่าวถึงว่ามีการพบหลักฐานที่ช่องโหว่ CVE-2023-4863 ถูกใช้งานจริงแล้ว โดยปกติผู้ใช้งานน่าจะได้รับการอัปเดตโดยอัตโนมัติหากเปิดเงื่อนไข ‘Automatic Update’ ให้ Microsoft Store ดังนั้นผู้ใช้ควรตรวจสอบ

ที่มา : https://www.bleepingcomputer.com/news/microsoft/microsoft-edge-teams-get-fixes-for-zero-days-in-open-source-libraries/