Виявлено нові проблеми в Zoom

У квітні і травні 2020 року фахівці з команди з інформаційної безпеки Cisco Talos виявили в Zoom дві критичні уразливості. Зловмисник міг використовувати кожну з цих помилок в додатку сервісу і отримати віддалений доступ до комп'ютера, користувач якого брав участь в груповому дзвінку. Після отримання всієї необхідної інформації від експертів Cisco Talos компанія Zoom внесла виправлення в серверну частину сервісу. В даний час розробник сервісу відеоконференцій усунув ці уразливості в новій версії Zoom 4.6.12. Користувачам рекомендується оновити свій клієнт, так як до вразливостей схильний Zoom Client for Windows версій 4.6.11 і 4.6.10.

Перша знайдена Cisco Talos вразливість - CVE-2020-6109. У серверної частини Zoom використовується сторонній сервіс Giphy, за допомогою якого користувачі можуть шукати і обмінюватися в чаті відеоконференції анімованими GIF-зображеннями. Виявилося, що Zoom не перевіряє коректність завантаження GIF на ПК користувача, завжди вважаючи, що вони не скомпрометовані і надходять з серверів Giphy. Однак, зловмисник може вбудовувати свій код в передані їм повідомлення, що містять GIF і виконати обхід каталогу в Zoom Client application.

Друга знайдена Cisco Talos вразливість - CVE-2020-6110. Вона також дозволяє зловмисникові виконати обхід каталогу в Zoom Client application і пов'язана з чатом Zoom, який виконаний розробниками на основі класичного XMPP з додатковими розширеннями для підтримки розширеного взаємодії з користувачем. Таким чином, в чаті Zoom можна виконати вставку сніпетів з шкідливим кодом, який передається клієнту Zoom в формі ZIP-архіву. Далі цей архів розпаковується на ПК жертви, причому в ході цього процесу немає перевірки на наявність всередині архіву шкідливого коду. Це дозволяє зловмисникові здійснити передачу і установку довічного (бінарного) файлу.