微软周一(10/2)宣布,将更新Microsoft Edge、Microsoft Teams、Skype及Webp Image Extensions,以修补自Chromium开源软件衍生而来的两个零时差漏洞CVE-2023-4863与CVE-2023-5217。
Google是在9月11日修补Chrome浏览器上的零时差漏洞CVE-2023-4863,于9月27日修补另一个Chrome零时差漏洞CVE-2023-5217,前者为WebP的堆积缓冲区溢位漏洞,后者则是VP8编码函式库libvpx中的堆积缓冲区溢位漏洞,两个漏洞都已遭到实际攻击。
只要是基于Chromium开源项目的浏览器都受到这两个漏洞的影响,包括Microsoft Edge在内。
不过,根据微软的说明,这两个漏洞也同时波及Microsoft Teams for Desktop与Skype for Desktop,以及微软通过Microsoft Store所提供的Webp Image Extensions程序。
迄今微软已修补了Edge、Teams、Skype及Webp Image Extensions上的CVE-2023-4863漏洞,亦已修补Edge的CVE-2023-5217漏洞,现正着手修补Teams及Skype上的CVE-2023-5217漏洞,之后Microsoft Store将会自动递送更新程序至用户装置上。
