微軟已發布修補程式來修復兩個流行開源程式庫中的零日漏洞，這些漏洞影響了多種產品，包括Skype、Teams 及其Edge 瀏覽器。但微軟不願透露這些零時差漏洞是否被利用來攻擊其產品，或者該公司是否知道其中任何一種情況。

Google和公民實驗室的研究人員表示，這兩個漏洞（由於開發人員沒有提前通知修復這些錯誤而被稱為零日漏洞）是上個月發現的，這兩個漏洞已被積極利用來針對有間諜軟體的個人。

這些錯誤是在兩個常見的開源庫webp 和libvpx 中發現的，它們被廣泛地整合到瀏覽器、應用程式和手機中以處理圖像和影片。這些庫無所不在，再加上安全研究人員警告這些漏洞被濫用來植入間諜軟體，促使科技公司、手機製造商和應用程式開發人員紛紛更新其產品中存在漏洞的程式庫。

微軟在周一的簡短聲明中表示，它已經推出了修復程序，解決了webp 和libvpx 庫中的兩個漏洞，並將其整合到其產品中，並承認這兩個漏洞都存在漏洞。當聯繫到微軟置評時，微軟發言人拒絕透露其產品是否已在外部被利用，或者該公司是否有能力了解情況。

Citizen Lab 的安全研究人員在9 月初表示，他們發現了證據，表明NSO Group 的客戶使用該公司的Peg ASUS間諜軟體，利用了最新且已完全修補的iPhone軟體中發現的漏洞。

據Citizen Lab 稱，蘋果公司在其產品中集成的易受攻擊的webp 庫中的漏洞無需設備所有者的任何交互即可被利用，即所謂的零點擊攻擊。蘋果推出了iPhone、iPad、Mac 和手錶的安全修復程序，並承認該漏洞可能已被未知駭客利用。

依賴Chrome 和其他產品中的webp 庫的Google也於9 月初開始修補該錯誤，以保護其用戶免受Google表示知道「存在於外部」的漏洞的影響。開罰Firefox 瀏覽器和Thunderbird 電子郵件用戶端的Mozilla 也在其應用程式中修補了該錯誤，並指出Mozilla 知道該錯誤已在其他產品中被利用。

本月晚些時候，Google安全研究人員表示，他們發現了另一個漏洞，這次是在libvpx 庫中，Google稱該漏洞已被商業間諜軟體供應商濫用，但Google拒絕透露該供應商的名稱。Google很快就推出了更新，以修復整合到Chrome 中的易受攻擊的libvpx 錯誤。

蘋果週三發布了一個安全性更新，修復了iPhone 和iPad 中的libvpx 錯誤，以及蘋果表示的另一個核心漏洞，該漏洞利用了運行iOS 16.6 之前版本軟體的裝置。

事實證明，libvpx 中的零日漏洞也影響了微軟產品，但目前尚不清楚駭客是否能夠利用它來攻擊該公司產品的用戶。