Уязвимости в Zoom дают возможность взломать системы пользователей

Исследователи из Cisco Talos выявили две новые уязвимости в сервисе видеозвонков. Они получили статус критических, так как позволяют атакующим взламывать системы пользователей в групповых чатах.

Тип обеих уязвимостей – «path traversal» (допускающий запись или копирование произвольных файлов в систему жертвы). Успешная эксплуатация этих брешей может вылиться в выполнение вредоносного кода.

В ходе атаки с целевым пользователем требуется минимальное взаимодействие – ему просто нужно отправить специально сформированное сообщение через уязвимую версию Zoom. Одна из брешей находится в службе GIPHY, которая используется для поиска GIF-картинок.

Эксперты говорят, сервис не проверяет источник, из которого загружается GIF. Более того, Zoom не проверяет имена файлов, благодаря чему замаскированные под GIF вредоносы могут проникнуть в локальные папки пользователя.

Вторая уязвимость приводит к удалённому выполнению кода. Она затрагивает обработку кусков кода, отправленных в чаты. Это тоже проблема исключительно Zoom.

В сервисе хотят усилить шифрование видеозвонков, но только для платных пользователей.

4 июня, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

08.07.2025
ГКРЧ выделила «дорогу» к сетям 5G
08.07.2025
CorpSoft24: При использовании «облаков» операторам удаётся кратно сократить затраты на кибербезопасность
08.07.2025
Тайвань призвал граждан проявлять бдительность в отношении китайского ПО
08.07.2025
Минцифры запустило третью багбаунти («Багбаунти навсегда»)
08.07.2025
У федерального казначейства появился свой R&D-центр в области ИИ
08.07.2025
Французские безопасники увидели в хакерской многоходовке след Китая
07.07.2025
«Это проще, чем самолётами пытаться вывозить конкретные кадры»
07.07.2025
Отец Twitter показал «бету» нового офлайн-мессенджера
07.07.2025
ЕС запускает план по внедрению квантово-безопасной инфраструктуры
07.07.2025
Цифровое министерство взялось за «сеньоров»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных