IT / Новости
информбезопасность события
5.6.2020

В Zoom нашли две критические уязвимости

В апреле и мае 2020 года специалисты компании по информационной безопасности Cisco Talos обнаружили в Zoom две критические уязвимости.

Благодаря этим проблемам удаленный злоумышленник мог проникнуть в систему любого из участников группового звонка, говорят в компании.

Обе найденные проблемы представляли собой баги типа path traversal, и их можно было использовать для внедрения произвольных файлов в уязвимые системы с целью выполнения вредоносного кода. По словам исследователей, эксплуатация этих проблем требовала весьма ограниченного взаимодействия с пользователями чата, к примеру, было достаточно отправить конкретному человеку или группе специально созданное сообщение.

Первая уязвимость связана с тем, что Zoom использует сервис Giphy, недавно приобретенный компанией Facebook, чтобы пользователи могли искать и обмениваться в чате анимированными файлами GIF. Как оказалось, Zoom не проверяет, загружается GIF с серверов Giphy или нет, то есть злоумышленник мог встраивать в сообщения файлы GIF со стороннего сервера, которые Zoom кэширует и сохраняет по умолчанию в системе пользователя, в связанной с приложением папке, поэтому злоумышленники могли добиться обхода каталога.

Вторая уязвимость, связана с удаленным выполнением кода. Проблема заключалась в том, как Zoom обрабатывает сниппеты кода, передаваемые в чате. Вредоносный код, мог передаваться клиенту сервиса в форме ZIP-архива. Далее этот архив распаковывается на ПК жертвы, причем в ходе этого процесса нет проверки на наличие внутри архива вредоносного кода. Это позволяет злоумышленнику осуществить передачу и установку двоичного файла на атакуемый им компьютер.

Эксперты Cisco Talos сообщают, что разработчики Zoom исправили обе критические уязвимости.

Изображение: пресс-служба Zoom

Еще по теме

В России создается умная среда подготовки правовых документов

Как повысить эффективность отрасли углеводородов за счет digital-решений

Особенности экспорта российских IT-решений в 2022 году

Поможет ли маркировка дипфейков защите персональных данных россиян

Методы борьбы с уязвимостями в системах лояльности и в процессах покупки

Российские высокие технологии проникли во все сферы экономики, но нуждаются в данных для развития

О трендах и перспективах цифровизации территорий России

В России хотят создать Совет по программно-аппаратным комплексам

Как избежать провалов в бизнесе при внедрении IТ-решений

Поможет ли перевод сайтов СМИ в публичные облака их кибербезопасности

Как проходит импортозамещение на рынке автономного транспорта в России

IT-отрасль ждет решения о господдержке экспорта ПО

Чего ждет IT-отрасль от эксперимента по использованию открытого ПО

Топ-5 актуальных запросов от пользователей российских BI-систем

Как совместить Bug Bounty и критически важные государственные ресурсы