Уязвимости в Zoom дают возможность взломать системы пользователей

Исследователи из Cisco Talos выявили две новые уязвимости в сервисе видеозвонков. Они получили статус критических, так как позволяют атакующим взламывать системы пользователей в групповых чатах.

Тип обеих уязвимостей – «path traversal» (допускающий запись или копирование произвольных файлов в систему жертвы). Успешная эксплуатация этих брешей может вылиться в выполнение вредоносного кода.

В ходе атаки с целевым пользователем требуется минимальное взаимодействие – ему просто нужно отправить специально сформированное сообщение через уязвимую версию Zoom. Одна из брешей находится в службе GIPHY, которая используется для поиска GIF-картинок.

Эксперты говорят, сервис не проверяет источник, из которого загружается GIF. Более того, Zoom не проверяет имена файлов, благодаря чему замаскированные под GIF вредоносы могут проникнуть в локальные папки пользователя.

Вторая уязвимость приводит к удалённому выполнению кода. Она затрагивает обработку кусков кода, отправленных в чаты. Это тоже проблема исключительно Zoom.

В сервисе хотят усилить шифрование видеозвонков, но только для платных пользователей.

4 июня, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

15.09.2025
Банк России — о необоснованной блокировке счетов физлиц
15.09.2025
С октября в банковских приложениях появится новая антифрод-ступень
15.09.2025
Массовые обзвоны без согласия абонентов запрещены (но не всем)
15.09.2025
CISA запускает дорожную карту программы «Общие уязвимости и риски»
15.09.2025
Пользователей ChatGPT с «типично женскими» никами стало больше, чем с «типично мужскими»
15.09.2025
Утечка данных в Wealthsimple подтвердила тенденцию к росту киберрисков в Канаде
12.09.2025
Албания доверила госзакупки искусственному интеллекту
12.09.2025
На «Госуслугах» теперь можно запретить себе SIM-карту
12.09.2025
Даркнет сам приходит к «Максу»?
12.09.2025
Половина россиян не одобряет блокировку звонков в мессенджерах

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных