据Security affairs消息,Google Project Zero安全研究人员近日发现视频会议软件Zoom存在两个重要漏洞,可能会让用户遭受攻击。
这两个漏洞会影响Windows、macOS、Linux、iOS 和 Android 平台上Zoom客户端,这意味着几乎所有的用户都处于漏洞的威胁之中。
第一个漏洞编号为CVE-2021-34423,是一个高严重性的缓冲区溢出漏洞,CVSS 基本得分为7.3分。第二个漏洞编号为CVE-2021-34424,是一个高严重性的内存损坏漏洞,CVSS 基本得分也是7.3分。
目前,Google已经将这两个漏洞已经分享给Zoom。Zoom 发布的安全公告承认了这两个漏洞,并表示,“部分产品发现了一个缓冲区溢出漏洞和内存损坏漏洞,这可能会让应用程序或服务崩溃,攻击者可利用这些漏洞执行任意代码,或暴露进程的内容状态等。”
以下是受影响的 Zoom 产品列表:
5.8.4 版之前的 Zoom 会议客户端(适用于 Android、iOS、Linux、macOS 和 Windows)
5.8.1 版之前的用于 Blackberry 会议的 Zoom 客户端(适用于 Android 和 iOS)
5.8.4 版之前的用于会议的 Zoom Client for Intune(适用于 Android 和 iOS)
适用于 Chrome 操作系统的 Zoom Client for Meetings 5.0.1 版之前
5.8.3 版之前的用于会议室的 Zoom Rooms(适用于 Android、AndroidBali、macOS 和 Windows)
版本 5.8.3 之前的 Zoom Rooms 控制器(适用于 Android、iOS 和 Windows)
值得一提的是,就在11月29日,Zoom宣布推出自动更新功能,旨在简化桌面客户端的更新过程,目前仅适用于Windows和macOS,移动设备可以通过各自应用商店的内置自动更新程序进行更新。
Zoom公司的隐私&安全技术产品经理称,“对于个人用户来说,自动更新功能将默认启动,如果想要关闭这一功能,用户可以在首次安装或首次更新后选择退出其桌面客户端的自动更新。”
此外,Zoom 用户还可以自主选择更新的频率:如果选择高频率更新,那么将会立即安装最新的软件和功能;如果选择低频率更新,那么将会直接降低更新次数,且更专注于最大限度提高稳定性。
虽然该平台在此之前还向企业用户提供了自动更新,但此次更新“将目标受众扩大到包括非企业组织成员的所有个人用户”。
参考来源
https://securityaffairs.co/wordpress/125122/security/video-conferencing-software-zoom-flaws.html
https://www.bleepingcomputer.com/news/security/zoom-finally-adds-automatic-updates-to-windows-macos-clients/