微軟更新Edge、Teams及Skype，以修補源自Chromium的零時差漏洞

微軟周一（10/2）宣布，將更新Microsoft Edge、Microsoft Teams、Skype及Webp Image Extensions，以修補自Chromium開源軟體衍生而來的兩個零時差漏洞CVE-2023-4863與CVE-2023-5217。

Google是在9月11日修補Chrome瀏覽器上的零時差漏洞CVE-2023-4863，於9月27日修補另一個Chrome零時差漏洞CVE-2023-5217，前者為WebP的堆積緩衝區溢位漏洞，後者則是VP8編碼函式庫libvpx中的堆積緩衝區溢位漏洞，兩個漏洞都已遭到實際攻擊。

只要是基於Chromium開源專案的瀏覽器都受到這兩個漏洞的影響，包括Microsoft Edge在內。

不過，根據微軟的說明，這兩個漏洞也同時波及Microsoft Teams for Desktop與Skype for Desktop，以及微軟透過Microsoft Store所提供的Webp Image Extensions程式。

迄今微軟已修補了Edge、Teams、Skype及Webp Image Extensions上的CVE-2023-4863漏洞，亦已修補Edge的CVE-2023-5217漏洞，現正著手修補Teams及Skype上的CVE-2023-5217漏洞，之後Microsoft Store將會自動遞送更新程式至使用者裝置上。