В Zoom нашли две новые критические уязвимости

Опубликовано at 19:22
77 0

По мере того как взлетевший на коронавирусном гребне сервис видеоконференций готовится к внедрению сквозного шифрования (правда, только для избранных), в нем продолжают находить дыры.

Исследователи из Cisco Talos выявили две новые уязвимости в программе. Бреши получили статус критических, поскольку позволяют атакующим взламывать системы пользователей, участвующих в групповых чатах. Как пояснили специалисты, тип обеих уязвимостей — «path traversal», то есть они допускают запись или копирование произвольных файлов в систему жертвы. Успешная эксплуатация этих дыр может вылиться в выполнение вредоносного кода.

В ходе атаки хакеру требуется минимальное взаимодействие с целевым пользователем — ему просто нужно отправить специально сформированное сообщение через уязвимую версию Zoom. Это может быть гифка: одна из брешей находится в службе GIPHY, которая используется в Zoom для поиска GIF-картинок. Zoom не проверяет источник, из которого загружается GIF и имена файлов.

Вторая найденная экспертами из Cisco Talos уязвимость приводит к удалённому выполнению кода. Она затрагивает обработку кусков кода, отправленных в чаты.

Ранее Zoom пообещали усилить шифрование в своем популярном сервисе для видеоконференций, однако этим смогут воспользоваться лишь платные клиенты. Всем остальным компания не готова гарантировать повышенную конфиденциальность. Дело в том, что Zoom планирует официально сотрудничать с ФБР и правоохранительными органами, а сквозное шифрование не позволяет третьему лицу получить доступ к переписке.

Читайте также на АКБ:

В даркнете появилась первая база пользователей Zoom

Подписываемся, следим @CyberAgency

Related Post

Чего не хватает КБ в России? Всего – денег, специалистов, плана развития

Опубликовано - 28.01.2019 0
Специалисты аналитического центра Anti-Malware по итогам исследования отечественного рынка информационной безопасности пришли к выводу, что он находится в неутешительном состоянии.…