Microsoft đã phát hành bản vá để khắc phục các lỗ hổng zero-day trong hai thư viện nguồn mở phổ biến ảnh hưởng đến nhiều loại sản phẩm, bao gồm Skype, Teams và trình duyệt Edge của nó. Nhưng Microsoft không cho biết liệu những lỗ hổng zero-day này có bị khai thác để tấn công các sản phẩm của họ hay không hay công ty có biết về bất kỳ lỗ hổng nào trong số đó hay không.
Các nhà nghiên cứu tại Google và Citizen Lab cho biết hai lỗ hổng, được gọi là zero-days vì các nhà phát triển không được thông báo trước để sửa chúng, đã được phát hiện vào tháng trước và đã được tích cực khai thác để nhắm mục tiêu vào các cá nhân bằng phần mềm gián điệp.
Lỗi được phát hiện trong hai thư viện nguồn mở phổ biến là webp và libvpx, được tích hợp rộng rãi vào trình duyệt, ứng dụng và điện thoại di động để xử lý hình ảnh và video. Sự phổ biến của các thư viện này, cùng với cảnh báo từ các nhà nghiên cứu bảo mật rằng các lỗ hổng đang bị lợi dụng để cài phần mềm gián điệp, đã khiến các công ty công nghệ, nhà sản xuất điện thoại và nhà phát triển ứng dụng phải gấp rút cập nhật các thư viện dễ bị tấn công trong sản phẩm của họ.
Microsoft cho biết trong một tuyên bố ngắn gọn vào thứ Hai rằng họ đã triển khai các bản sửa lỗi cho hai lỗ hổng trong thư viện webp và libvpx và tích hợp chúng vào các sản phẩm của mình, đồng thời thừa nhận rằng cả hai đều dễ bị tấn công. Khi đưa ra bình luận, người phát ngôn của Microsoft từ chối cho biết liệu sản phẩm của họ có bị khai thác từ bên ngoài hay công ty có khả năng tìm hiểu về tình huống này hay không.
Các nhà nghiên cứu bảo mật tại CitizenLab cho biết vào đầu tháng 9 rằng họ đã tìm thấy bằng chứng cho thấy khách hàng của NSO Group đang sử dụng phần mềm gián điệp PegASUS của công ty để khai thác các lỗ hổng được tìm thấy trong phần mềm iPhone mới nhất và được vá đầy đủ.
Theo CitizenLab, một lỗ hổng trong thư viện webp dễ bị tấn công mà Apple tích hợp vào các sản phẩm của mình có thể bị khai thác mà không cần bất kỳ sự tương tác nào từ chủ sở hữu thiết bị, cái gọi là cuộc tấn công không cần nhấp chuột. Apple đã tung ra các bản sửa lỗi bảo mật cho iPhone, iPad, Mac và Đồng hồ và thừa nhận rằng lỗ hổng này có thể đã bị các tin tặc không rõ danh tính khai thác.
Google, dựa trên thư viện webp trong Chrome và các sản phẩm khác, cũng đã bắt đầu vá lỗi vào đầu tháng 9 để bảo vệ người dùng khỏi một lỗ hổng mà Google cho biết họ đã biết "từ bên ngoài". Mozilla, chạy trình duyệt Firefox và ứng dụng email Thunderbird, cũng đã vá lỗi trong các ứng dụng của mình, lưu ý rằng Mozilla đã biết rằng lỗi này đã bị khai thác trong các sản phẩm khác.
Cuối tháng này, các nhà nghiên cứu bảo mật của Google cho biết họ đã phát hiện ra một lỗ hổng khác, lần này là trong thư viện libvpx mà Google cho biết đã bị một nhà cung cấp phần mềm gián điệp thương mại lạm dụng mà Google từ chối nêu tên. Google đã nhanh chóng tung ra bản cập nhật để sửa lỗi libvpx dễ bị tích hợp vào Chrome.
Apple đã phát hành bản cập nhật bảo mật vào thứ Tư để sửa lỗi libvpx trong iPhone và iPad, cũng như một lỗ hổng kernel khác mà Apple cho biết khai thác các thiết bị chạy phần mềm trước iOS 16.6.
Hóa ra lỗ hổng zero-day trong libvpx cũng ảnh hưởng đến các sản phẩm của Microsoft, nhưng không rõ liệu tin tặc có thể khai thác nó để tấn công người dùng sản phẩm của công ty hay không.