माइक्रोसॉफ्ट ने दो लोकप्रिय ओपन सोर्स लाइब्रेरीज़_5iter.com में शून्य-दिन की कमजोरियों को ठीक करने के लिए पैच जारी किए हैं

माइक्रोसॉफ्ट ने दो लोकप्रिय ओपन सोर्स लाइब्रेरी में शून्य-दिन की कमजोरियों को ठीक करने के लिए पैच जारी किए हैं जो स्काइप, टीम्स और इसके एज ब्राउज़र सहित विभिन्न उत्पादों को प्रभावित करते हैं। लेकिन माइक्रोसॉफ्ट यह नहीं बताएगा कि क्या इन शून्य-दिन की कमजोरियों का फायदा उसके उत्पादों पर हमला करने के लिए किया गया था या कंपनी को इनमें से किसी के बारे में पता था।

Google और सिटीजन लैब के शोधकर्ताओं का कहना है कि दो कमजोरियां, जिन्हें शून्य-दिन के रूप में जाना जाता है क्योंकि डेवलपर्स को उन्हें ठीक करने के लिए पहले से सूचित नहीं किया गया था, पिछले महीने खोजी गई थीं और स्पाइवेयर वाले व्यक्तियों को लक्षित करने के लिए सक्रिय रूप से शोषण किया गया है।

बग दो सामान्य ओपन सोर्स लाइब्रेरीज़, वेबपी और लिबवीपीएक्स में खोजे गए थे, जो छवियों और वीडियो को संसाधित करने के लिए ब्राउज़र, ऐप्स और मोबाइल फोन में व्यापक रूप से एकीकृत हैं। इन पुस्तकालयों की सर्वव्यापकता, सुरक्षा शोधकर्ताओं की चेतावनियों के साथ कि स्पाइवेयर प्लांट करने के लिए कमजोरियों का दुरुपयोग किया जा रहा है, ने तकनीकी कंपनियों, फोन निर्माताओं और ऐप डेवलपर्स को अपने उत्पादों में कमजोर पुस्तकालयों को अपडेट करने के लिए प्रेरित किया है।

माइक्रोसॉफ्ट ने सोमवार को एक संक्षिप्त बयान में कहा कि उसने वेबपी और लिबवीपीएक्स लाइब्रेरी में दो कमजोरियों के लिए समाधान पेश किया है और यह स्वीकार करते हुए कि दोनों कमजोर हैं, उन्हें अपने उत्पादों में एकीकृत किया है। जब टिप्पणी के लिए संपर्क किया गया, तो माइक्रोसॉफ्ट के प्रवक्ता ने यह कहने से इनकार कर दिया कि क्या उसके उत्पादों का बाहरी शोषण किया गया था या क्या कंपनी के पास स्थिति के बारे में जानने की क्षमता थी।

सिटीजनलैब के सुरक्षा शोधकर्ताओं ने सितंबर की शुरुआत में कहा था कि उन्हें सबूत मिले हैं कि एनएसओग्रुप के ग्राहकों ने नवीनतम और पूरी तरह से पैच किए गए आईफोन सॉफ्टवेयर में पाई गई कमजोरियों का फायदा उठाने के लिए कंपनी के पेगासस स्पाइवेयर का इस्तेमाल किया था।

सिटीज़नलैब के अनुसार, कमजोर वेबप लाइब्रेरी में एक भेद्यता जिसे ऐप्पल अपने उत्पादों में एकीकृत करता है, डिवाइस मालिक से किसी भी बातचीत के बिना इसका फायदा उठाया जा सकता है, एक तथाकथित शून्य-क्लिक हमला। Apple ने iPhones, iPads, Macs और Watches के लिए सुरक्षा सुधार जारी किए और स्वीकार किया कि अज्ञात हैकर्स द्वारा इस खामी का फायदा उठाया जा सकता है।

Google, जो क्रोम और अन्य उत्पादों में वेबपी लाइब्रेरी पर निर्भर है, ने भी अपने उपयोगकर्ताओं को उस भेद्यता से बचाने के लिए सितंबर की शुरुआत में बग को पैच करना शुरू कर दिया था, जिसके बारे में Google ने कहा था कि उसे "बाहरी रूप से" जानकारी थी। मोज़िला, जो फ़ायरफ़ॉक्स ब्राउज़र और थंडरबर्ड ईमेल क्लाइंट चलाता है, ने भी अपने अनुप्रयोगों में बग को पैच कर दिया है, यह देखते हुए कि मोज़िला को पता है कि अन्य उत्पादों में बग का फायदा उठाया गया है।

इस महीने के अंत में, Google सुरक्षा शोधकर्ताओं ने कहा कि उन्होंने एक और भेद्यता की खोज की है, इस बार libvpx लाइब्रेरी में, जिसके बारे में Google ने कहा कि एक वाणिज्यिक स्पाइवेयर विक्रेता द्वारा इसका दुरुपयोग किया गया था, जिसका नाम बताने से Google ने इनकार कर दिया। Google ने Chrome में एकीकृत एक कमजोर libvpx बग को ठीक करने के लिए तुरंत एक अपडेट जारी किया।

Apple ने बुधवार को एक सुरक्षा अद्यतन जारी किया जो iPhones और iPads में libvpx बग को ठीक करता है, साथ ही एक अन्य कर्नेल भेद्यता को भी ठीक करता है जिसके बारे में Apple ने कहा है कि iOS 16.6 से पहले सॉफ़्टवेयर चलाने वाले डिवाइसों ने इसका फायदा उठाया है।

यह पता चला है कि libvpx में शून्य-दिन की भेद्यता Microsoft उत्पादों को भी प्रभावित करती है, लेकिन यह स्पष्ट नहीं है कि हैकर्स कंपनी के उत्पादों के उपयोगकर्ताओं पर हमला करने के लिए इसका फायदा उठाने में सक्षम थे या नहीं।