Компания Microsoft на этой неделе представила патчи для двух часто используемых библиотек. Среди прочих приложений они применяются в программах Skype, Teams и браузере Edge. При этом не сообщается, успели ли хакеры задействовать уязвимости для проведения реальных атак.

Уязвимости нашли в сентябре в библиотеках webp и libvpx. Они созданы для работы с видео и файлами изображений на смартфонах, в программах и браузерах. Специалисты Google и Citizen Lab утверждали, что уязвимости применялись хакерами для распространения на пользовательских устройствах шпионского программного обеспечения.

В Citizen Lab сообщали, что компания NSO Group из Израиля, являющаяся автором шпионской программы Pegasus, задействовала уязвимости на аппаратах iPhone. Уязвимость в библиотеке webp не требовала действий от пользователей, это атака вида Zero Click.

Mozilla и Google уделили этим уязвимостям внимание, закрыв их в своих программах. Позднее специалисты Google нашли уязвимость в библиотеке libvpx, её уже применял неназванный разработчик коммерческого программного обеспечения для шпионажа.

Apple и Google представили патч для libvpx. Apple утверждает, что уязвимость относится к версиям системы до iOS 16.6.