В Zoom нашли две уязвимости, позволявшие взломать собеседника через чат
Две критические уязвимости в популярном приложении для видеоконференций Zoom, позволяющие проводить кибератаки через чаты, нашли специалисты Cisco Talos, 3 июня сообщается пресс-служба компании.
По словам экспертов, нашедших бреши в безопасности Zoom, обе уязвимости дают возможность злоумышленникам воздействовать на компьютер жертвы через личный или групповой чат приложения Zoom. При этом нарушители могут разместить и запустить вредоносный код в произвольном месте файловой системы атакуемого компьютера.
Для атаки и через одну, и через другую уязвимость необходимо специальным образом подготовить сообщение. Первая уязвимость связана с изображениями в формате GIF. Согласно экспертам Cisco Talos, Zoom не проверяет источник и не производит очистку имени таких файлов. Благодаря этому злоумышленник может поместить замаскированный под GIF файл в любую папку атакуемой системы.
Вторая уязвимость касается пересылаемых фрагментов исполняемого кода. При пересылке таких сообщений Zoom формирует архивы формата ZIP, но при получении и распаковке содержимое таких архивов никак не проверяется. Это все также позволяет нарушителю разместить вредоносный код в атакуемой системе. Возможный ущерб возрастает, если жертву тем или иным образом заставят запустить такой код.
Уязвимости были найдены в версии клиента Zoom 4.6.10. В последующих версиях разработчики данные бреши в безопасности закрыли.