WebPのゼロデイ脆弱性は「Teams」や「Skype」にも ～Microsoftが影響製品を公表【10月10日追記】

公式ブログ「MSRC Blog」におけるアナウンス

　米Microsoftは10月2日（現地時間）、「CVE-2023-4863」および「CVE-2023-5217」の影響を受ける自社製品を明らかにした。

CVE-2023-4863

　「CVE-2023-4863」は「libwebp」ライブラリで発見されたヒープバッファーオーバーフローの問題で、「CVSS 3」の基本値は「8.8」（再評価中のため、変更の可能性あり）。すでに悪用が報告されている。

　Microsoftによると、以下の製品に影響があるとのこと。

• Microsoft Edge：v116.0.1938.81で解決済み
• Microsoft Teams for Desktop：v1.6.00.26474で解決済み
• Microsoft Teams for Mac：v1.6.00.26463で解決済み
• Skype for Desktop：v8.105.0.208で解決済み
• Webp 画像拡張機能：v1.0.62681.0で解決済み

　「Webp 画像拡張機能」（WebP Image Extension）はWindowsアプリがWebP画像を表示するために用いられるコンポーネントで、「Microsoft Store」から更新可能。

CVE-2023-5217

　「CVE-2023-5217」は「libvpx」ライブラリで発見された問題で、VP8動画をエンコードする処理際にヒープバッファーオーバーフローが発生するおそれがある。「CVSS 3」の基本値は「8.8」（再評価中のため、変更の可能性あり）。すでに悪用が報告されている。

　Microsoftによると、この問題は「Edge」にのみ影響する。安定（Stable）版はv117.0.2045.47、拡張安定（Extended Stable）版はv116.0.1938.98になっていれば問題ない。

［2023年10月10日編集部追記］ 同社は10月6日（現地時間）、「Microsoft Remote Desktop」（Remote Desktop client for Windows）v1.2.4583を公開し、同クライアントにおける「CVE-2023-5217」の脆弱性を修正したと発表した。