Уязвимости в Zoom дают возможность взломать системы пользователей

Уязвимости в Zoom дают возможность взломать системы пользователей

Исследователи из Cisco Talos выявили две новые уязвимости в сервисе видеозвонков. Они получили статус критических, так как позволяют атакующим взламывать системы пользователей в групповых чатах.

Тип обеих уязвимостей – «path traversal» (допускающий запись или копирование произвольных файлов в систему жертвы). Успешная эксплуатация этих брешей может вылиться в выполнение вредоносного кода.

В ходе атаки с целевым пользователем требуется минимальное взаимодействие – ему просто нужно отправить специально сформированное сообщение через уязвимую версию Zoom. Одна из брешей находится в службе GIPHY, которая используется для поиска GIF-картинок.

Эксперты говорят, сервис не проверяет источник, из которого загружается GIF. Более того, Zoom не проверяет имена файлов, благодаря чему замаскированные под GIF вредоносы могут проникнуть в локальные папки пользователя.

Вторая уязвимость приводит к удалённому выполнению кода. Она затрагивает обработку кусков кода, отправленных в чаты. Это тоже проблема исключительно Zoom.

В сервисе хотят усилить шифрование видеозвонков, но только для платных пользователей.