Уязвимости в Zoom дают возможность взломать системы пользователей

Исследователи из Cisco Talos выявили две новые уязвимости в сервисе видеозвонков. Они получили статус критических, так как позволяют атакующим взламывать системы пользователей в групповых чатах.

Тип обеих уязвимостей – «path traversal» (допускающий запись или копирование произвольных файлов в систему жертвы). Успешная эксплуатация этих брешей может вылиться в выполнение вредоносного кода.

В ходе атаки с целевым пользователем требуется минимальное взаимодействие – ему просто нужно отправить специально сформированное сообщение через уязвимую версию Zoom. Одна из брешей находится в службе GIPHY, которая используется для поиска GIF-картинок.

Эксперты говорят, сервис не проверяет источник, из которого загружается GIF. Более того, Zoom не проверяет имена файлов, благодаря чему замаскированные под GIF вредоносы могут проникнуть в локальные папки пользователя.

Вторая уязвимость приводит к удалённому выполнению кода. Она затрагивает обработку кусков кода, отправленных в чаты. Это тоже проблема исключительно Zoom.

В сервисе хотят усилить шифрование видеозвонков, но только для платных пользователей.

4 июня, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.07.2025
«Национальный мессенджер» закрыл первый миллион
01.07.2025
МТС приготовила всем по маленькому «большому брату»
01.07.2025
NCSC заманивает компании к участию в программе, страдающей из-за недостатка интереса
01.07.2025
ruID как пред-«Госуслуги». Новый сервис для приезжающих в Россию
01.07.2025
«Лидеры рынка уже не ограничиваются точечными инструментами»
01.07.2025
К давлению на Apple подключилась даже нейтральная Швейцария
01.07.2025
АНБ и CISA хотят снизить уязвимость ПО с помощью TRACTORа
30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных