В кінці квітня стало відомо, що уразливості сервісу відеоконференцій Zoom були давно відомі компаніям, які співпрацювали з платформою
![Виявлено нові проблеми в Zoom](https://cdn2.goloskarpat.info/images/doc/4/6/460fbb0-golos.jpg)
У квітні і травні 2020 року фахівці з команди з інформаційної безпеки Cisco Talos виявили в Zoom дві критичні уразливості. Зловмисник міг використовувати кожну з цих помилок в додатку сервісу і отримати віддалений доступ до комп'ютера, користувач якого брав участь в груповому дзвінку. Після отримання всієї необхідної інформації від експертів Cisco Talos компанія Zoom внесла виправлення в серверну частину сервісу. В даний час розробник сервісу відеоконференцій усунув ці уразливості в новій версії Zoom 4.6.12. Користувачам рекомендується оновити свій клієнт, так як до вразливостей схильний Zoom Client for Windows версій 4.6.11 і 4.6.10.
Перша знайдена Cisco Talos вразливість - CVE-2020-6109. У серверної частини Zoom використовується сторонній сервіс Giphy, за допомогою якого користувачі можуть шукати і обмінюватися в чаті відеоконференції анімованими GIF-зображеннями. Виявилося, що Zoom не перевіряє коректність завантаження GIF на ПК користувача, завжди вважаючи, що вони не скомпрометовані і надходять з серверів Giphy. Однак, зловмисник може вбудовувати свій код в передані їм повідомлення, що містять GIF і виконати обхід каталогу в Zoom Client application.
Друга знайдена Cisco Talos вразливість - CVE-2020-6110. Вона також дозволяє зловмисникові виконати обхід каталогу в Zoom Client application і пов'язана з чатом Zoom, який виконаний розробниками на основі класичного XMPP з додатковими розширеннями для підтримки розширеного взаємодії з користувачем. Таким чином, в чаті Zoom можна виконати вставку сніпетів з шкідливим кодом, який передається клієнту Zoom в формі ZIP-архіву. Далі цей архів розпаковується на ПК жертви, причому в ході цього процесу немає перевірки на наявність всередині архіву шкідливого коду. Це дозволяє зловмисникові здійснити передачу і установку довічного (бінарного) файлу.
Читайте також:
- Пенсійний сюрприз: суддям підвищили пенсії до 100 тисяч грн
- Нашестя змій на Закарпатті: небезпека чатує в будинках та на городах
- Найстрашніше попереду: чим слід уже робити запаси жителям Закарпаття на найближчий період?
- На Закарпатті вимикатимуть світло не тільки по графіку: де ще плануються додаткові відключення (ПЕРЕЛІК)
- Поділитись:
- Twitter(X)
- Telegram
- Viber
![Популярні послуги стали недоступними: ук...](https://cdn2.goloskarpat.info/images/doc/3/2/324536681664f00f44dc75_image.png_223x173_to.jpg)
Популярні послуги стали недоступними: українці втр...
У мобільному додатку "Дія" тимчасово при...
23.05.2024 11:40 333 0 ІТ і технології
![InProject HUB представляє ТОП-10 професі...](https://cdn2.goloskarpat.info/images/doc/1/9/191260763866561ffbb5103_image.png_223x173_to.jpg)
InProject HUB представляє ТОП-10 професій у сфері ...
Дізнайтесь, разом з InProject HUB, які п...
28.05.2024 21:18 61 0 ІТ і технології
![Штучний Інтелект: становлення епохи брех...](https://cdn2.goloskarpat.info/images/doc/4/9/496226538665698ce4e32c_image.png_223x173_to.jpg)
Штучний Інтелект: становлення епохи брехні
Нейромережі виявилися здатними до систем...
29.05.2024 05:54 88 0 ІТ і технології
!["Їх милий лепет так кумедно слухати": вч...](https://cdn2.goloskarpat.info/images/doc/1/8/1824798613665c4afca72d7_image.png_223x173_to.jpg)
"Їх милий лепет так кумедно слухати": вчені розгад...
Про що лепечуть малюки.
02.06.2024 13:35 139 0 ІТ і технології
![Чергова "wow-новина" навколо "X(twitter)...](https://cdn2.goloskarpat.info/images/doc/2/1/2126503622666007b775570_image.png_223x173_to.jpg)
Чергова "wow-новина" навколо "X(twitter): чим цьог...
У минулому X, раніше відома як Twitter, ...
05.06.2024 09:37 136 0 ІТ і технології