В Zoom нашли две новые критические уязвимости

Опубликовано at 19:22
194 0

По мере того как взлетевший на коронавирусном гребне сервис видеоконференций готовится к внедрению сквозного шифрования (правда, только для избранных), в нем продолжают находить дыры.

Исследователи из Cisco Talos выявили две новые уязвимости в программе. Бреши получили статус критических, поскольку позволяют атакующим взламывать системы пользователей, участвующих в групповых чатах. Как пояснили специалисты, тип обеих уязвимостей — «path traversal», то есть они допускают запись или копирование произвольных файлов в систему жертвы. Успешная эксплуатация этих дыр может вылиться в выполнение вредоносного кода.

В ходе атаки хакеру требуется минимальное взаимодействие с целевым пользователем — ему просто нужно отправить специально сформированное сообщение через уязвимую версию Zoom. Это может быть гифка: одна из брешей находится в службе GIPHY, которая используется в Zoom для поиска GIF-картинок. Zoom не проверяет источник, из которого загружается GIF и имена файлов.

Вторая найденная экспертами из Cisco Talos уязвимость приводит к удалённому выполнению кода. Она затрагивает обработку кусков кода, отправленных в чаты.

Ранее Zoom пообещали усилить шифрование в своем популярном сервисе для видеоконференций, однако этим смогут воспользоваться лишь платные клиенты. Всем остальным компания не готова гарантировать повышенную конфиденциальность. Дело в том, что Zoom планирует официально сотрудничать с ФБР и правоохранительными органами, а сквозное шифрование не позволяет третьему лицу получить доступ к переписке.

Читайте также на АКБ:

В даркнете появилась первая база пользователей Zoom

Подписываемся, следим @CyberAgency

Related Post

Объявлена полная победа над ботнетом Emotet

Опубликовано - 26.04.2021 0
Крупнейшая международная спецоперация увенчалась грандиозным успехом: в настоящее время вредоносное ПО Emotet было автоматически удалено с зараженных компьютеров. Самый грозный…

Zerolink запускает тест на анонимность транзакций

Опубликовано - 19.12.2017 0
Zerolink, который использует решение для микширования монет на основе Coinjoin, объявил о проведении широкомасштабного теста анонимности. Благодаря стресс-тестированию Zerolink, разработчик…