关键缩放漏洞触发远程代码执行而无需用户输入

2021-04-10 05:32:38

研究人员已经披露了Zoom中的零天漏洞,该Zoom可以用于启动远程执行(RCE)攻击。

由零日倡议组织的PWN2OWN是White-Hat Cyber​​security专业人士和团队的比赛,在发现流行软件和服务中发现错误。

最新竞争包括23个条目,竞争不同类别,包括Web浏览器,虚拟化软件,服务器,企业通信和本地升级权限。

对于成功的参赛者来说,金融奖励可以很高 - 在这种情况下,大安凯勒姆和Thijs alkemade为他们的缩放发现获得了20万美元。

来自Contemest的研究人员展示了一个三虫攻击链,导致目标机器上的RCE,并且所有没有任何形式的用户交互。

由于缩放尚未有时间修补关键安全问题,因此漏洞的特定技术细节将保存在包装之下。但是,攻击的动画展示了攻击者如何在其漏洞利用后打开运行缩放的计算机的计算器程序。

正如Malwarebytes所指出的那样,攻击在两个Windows和Mac版本的缩放中工作,但它尚未 - 已在iOS或Android上进行测试。视频会议软件的浏览器版本不受影响。

在汤姆'指南的声明中,zoom感谢大量的研究人员并表示该公司是"努力减少缩放聊天的问题。"会话中的缩放会议和缩放视频网络研讨会不受影响。

"攻击还必须源自接受的外部联系或成为目标的一部分' s同一组织账户,"缩放添加。 "作为最佳实践,Zoom建议所有用户只接受他们认识和信任的个人的联系人请求。"

供应商有一个90天的窗口,它是漏洞泄露程序中的标准做法,以解决发现的安全问题。最终用户只需要等待待发行的补丁 - 但如果担心,他们可以在此期间使用浏览器版本。

"这个事件,以及它包围的程序和协议,非常恰当地表现出白帽黑客如何工作以及负责任的披露意味着什么," Malwarebytes说。 "将详细信息保留在您自己身边,直到涉及的每个人都可以轻松地提供贴片的形式(有谅解厂商将其部件进行扫描并快速制作补丁)。"

有一个提示?通过Whatsapp安全地安全地联系信号在+447713 025 499,或以键盘:Charlie0