Zoom указали на очередные уязвимости

Исследователи из группы по анализу угроз Cisco Talos обнаружили две серьезные уязвимости в платформе видеоконференций Zoom. Они позволяли злоумышленнику отправлять файлы в систему участника видеоконференции, что потенциально могло позволить запустить зловред на компьютере жертвы.

Фото: Pixabay

Исследователи сообщили в Zoom о найденных уязвимостях. Администрация сервиса сообщает, что они исправлены в версии 4.6.12 приложения для видеоконференций Zoom для Windows, Mac и Linux. Ошибкам присвоены коды CVE-2020-6109 и CVE-2020-6110.

CVE-2020-6109 проявлялась, когда клиент Zoom использует сервис Giphy. Проблема связана с тем, что клиент Zoom не может проверить, загружены ли анимированные GIF-файлы из службы Giphy. Без этой проверки злоумышленник может загрузить GIF со стороннего сервера, которым он управляет. Файл в этом случае сохранялся в папке кэша в системе получателя и при запуске активировал зловред. 

Уязвимость CVE-2020-6110 связана с тем, как клиент Zoom обрабатывает фрагменты кода, предоставляемые участниками собрания через функцию чата приложения. Эту уязвимость также можно использовать для удаленного выполнения кода, хотя для этого потребуется некоторое взаимодействие с пользователем. 

Фрагмент кода добавляется в zip-архив перед отправкой, который затем автоматически распаковывается в системе получателя. Злоумышленник мог использовать этот недостаток для создания самораспаковывающегося zip-файла в системе жертвы. Он также мог добавить произвольные двоичные файлы в zip-файл, которые будут записаны на компьютер цели атаки. 

Первая уязвимость присутствовала только в версиях 4.6.10, 4.6.11, вторая затрагивала 4.6.10 и все более ранние версии, сообщает NetSecNews.

Как ранее сообщал Startpack, несмотря на продолжающуюся критику по поводу безопасности, Zoom показал финансовый рост в 169%.