Zoom 網(wǎng)絡(luò)會(huì)議客戶端包含一個(gè)零日漏洞，該漏洞可能使攻擊者能夠在易受攻擊的系統(tǒng)上遠(yuǎn)程執(zhí)行命令。

利用此漏洞至少需要在受害者端采取某種形式的操作，例如下載和打開(kāi)惡意附件，但是，在利用過(guò)程中不會(huì)觸發(fā)安全通知。

希望保持匿名的研究人員與 0patch 小組聯(lián)系，公開(kāi)了該漏洞，而不是直接向 Zoom 報(bào)告。

然后，0patch 的研究人員免費(fèi)發(fā)布了“微型補(bǔ)丁”，直到Zoom可以發(fā)布自己的微型補(bǔ)丁為止。

“根據(jù)我們的指南，我們將免費(fèi)向所有人提供這些微型補(bǔ)丁，直到 Zoom 修復(fù)了該問(wèn)題或決定不修復(fù)它為止。為了最大程度地降低沒(méi)有 0patch 的系統(tǒng)上被利用的風(fēng)險(xiǎn)，我們不會(huì)發(fā)布有關(guān)此漏洞的詳細(xì)信息，直到 Zoom 修復(fù)了該問(wèn)題或決定不修復(fù)此問(wèn)題，或者直到這些詳細(xì)信息以任何方式成為公眾知識(shí)為止。” 0patch 在博客文章中。

盡管公司沒(méi)有透露遠(yuǎn)程代碼執(zhí)行漏洞的完整細(xì)節(jié)，但他們確實(shí)發(fā)布了概念驗(yàn)證視頻，模糊地演示了該漏洞利用：

“客戶端 RCE 幾乎總是需要一些社會(huì)工程學(xué)；有些要求用戶打開(kāi)惡意文檔，有些需要訪問(wèn)惡意網(wǎng)頁(yè)，有些需要連接到惡意RDP服務(wù)器，等等。這些對(duì)于用戶而言并不是什么不尋常的行為，但他們可能會(huì)在沒(méi)有誘惑的情況下執(zhí)行這些操作，” 0patch co 發(fā)現(xiàn)的 Mitja Kolsek 告訴 BleepingComputer。

Zoom于 7月10日為 Windows 用戶發(fā)布了最新版本5.1.3（28656.0709）的補(bǔ)丁程序，建議用戶下載最新版本的客戶端應(yīng)用程序。

該發(fā)行說(shuō)明確認(rèn)更新“修復(fù)影響運(yùn)行 Windows 7 和老用戶的安全性問(wèn)題?！?/span>

已知該漏洞僅在Windows 7和早期版本中可以利用，但在 Windows Server 2008 R2 和早期版本中也可以利用。

0patch 告知其用戶，無(wú)論使用什么操作系統(tǒng)，他們的微補(bǔ)丁都將保護(hù)用戶免受此漏洞的影響。

未來(lái)更新

Zoom 還發(fā)布了計(jì)劃中的更新說(shuō)明，該更新計(jì)劃于 2020 年 7 月 12 日面向電話和網(wǎng)絡(luò)用戶發(fā)布。

默認(rèn)情況下，此更新承諾將加密從 AES-128 升級(jí)到 AES-256。它還為移動(dòng)用戶引入了“呼叫監(jiān)視”功能，有效地使他們能夠“在各方不知情的情況下收聽(tīng)呼叫；在通話中與其他用戶不知情的電話用戶通話；加入通話并與各方通話；或接聽(tīng)另一個(gè)用戶的呼叫。”

其他功能和增強(qiáng)功能包括所謂的“新加坡數(shù)據(jù)中心選項(xiàng)”。該選項(xiàng)使帳戶所有者和管理員可以通過(guò)位于新加坡的數(shù)據(jù)中心路由實(shí)時(shí)會(huì)議和網(wǎng)絡(luò)研討會(huì)流量。

此外，7 月 12 日的 Web 更新還提供了定制的快速撥號(hào)，該撥號(hào)支持忙燈區(qū)（BLF）功能，呼叫寄存，創(chuàng)建外部聯(lián)系人共享目錄的功能以及“小錯(cuò)誤修復(fù)”。

同時(shí)，此更新將使“電話”用戶能夠訪問(wèn)電話用戶目錄，并將活動(dòng)的呼叫轉(zhuǎn)移到另一個(gè)用戶的語(yǔ)音信箱。

建議 Zoom 用戶打開(kāi)自動(dòng)更新功能，以保護(hù)自己免受安全漏洞的影響，并充分利用最新的產(chǎn)品。

文章轉(zhuǎn)自：bleepingcomputer / 免責(zé)聲明：文章系本站編輯轉(zhuǎn)載，轉(zhuǎn)載目的在于傳遞更多信息，并不代表本站贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé)。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)及時(shí)聯(lián)系我們，我們將會(huì)在24小時(shí)內(nèi)刪除內(nèi)容！

版權(quán)聲明：本站文章來(lái)源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來(lái)源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來(lái)源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來(lái)，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。