Zoom исправил ряд проблем с безопасностью
Zoom исправил ряд проблем с безопасностью. Фото: Pixabay
Ошибка, впервые обнаруженная исследователем безопасности Google Project Zero Иваном Фратричем, может быть использована без какого-либо взаимодействия со стороны жертвы.
Из сообщения исследователя безопасности Google Project Zero Ивана Фратрича:
«Единственная способность, которая нужна злоумышленнику, — это возможность отправлять сообщения жертве через Zoom чат по протоколу XMPP»
Уязвимость CVE-2022-22786 связана с тем фактом, что сервер Zoom и сервер клиента используют разные библиотеки синтаксического анализа XML, и в результате сообщения XMPP обрабатываются ими по-разному.
Отправив определенное сообщение, злоумышленник может заставить целевого клиента подключиться к промежуточному серверу и установить старую версию Zoom 2019 года. Это помогает злоумышленнику начать более разрушительную атаку.
Из сообщения исследователя безопасности Google Project Zero Ивана Фратрича:
«Установщик для этой версии по-прежнему правильно подписан, однако он не выполняет никаких проверок безопасности файла .cab. Чтобы продемонстрировать влияние атаки, я заменил Zoom.exe в CAB-файле на двоичный файл, который просто открывает приложение «Калькулятор Windows» и наблюдает, как Калькулятор открывается после установки «обновления».
Недостаток был устранен в последнем обновлении платформы. Всем пользователям настоятельно рекомендуется установить патч до версии 5.10.0 как можно скорее.
Startpack подготовил перечень инструментов для организации эффективной командной работы над проектами или для повседневной деятельности. Системы позволяют быстро наладить коммуникацию между членами команды, спланировать деятельность, распределить задачи и проконтролировать результат. Раздел включает в себя CRM, почтовые сервисы, мессенджеры, системы управления задачами, тайм-трекеры. генераторы отчётов и документов, а так же многое другое. Работают в кросс – платформенном режиме из облака или локально.
Статьи по теме
Комментариев пока не было