Zoom 網絡會議客戶端包含一個零日漏洞，該漏洞可能使攻擊者能夠在易受攻擊的系統(tǒng)上遠程執(zhí)行命令。

利用此漏洞至少需要在受害者端采取某種形式的操作，例如下載和打開惡意附件，但是，在利用過程中不會觸發(fā)安全通知。

希望保持匿名的研究人員與 0patch 小組聯(lián)系，公開了該漏洞，而不是直接向 Zoom 報告。

然后，0patch 的研究人員免費發(fā)布了“微型補丁”，直到Zoom可以發(fā)布自己的微型補丁為止。

“根據我們的指南，我們將免費向所有人提供這些微型補丁，直到 Zoom 修復了該問題或決定不修復它為止。為了最大程度地降低沒有 0patch 的系統(tǒng)上被利用的風險，我們不會發(fā)布有關此漏洞的詳細信息，直到 Zoom 修復了該問題或決定不修復此問題，或者直到這些詳細信息以任何方式成為公眾知識為止?！?0patch 在博客文章中。

盡管公司沒有透露遠程代碼執(zhí)行漏洞的完整細節(jié)，但他們確實發(fā)布了概念驗證視頻，模糊地演示了該漏洞利用：

“客戶端 RCE 幾乎總是需要一些社會工程學；有些要求用戶打開惡意文檔，有些需要訪問惡意網頁，有些需要連接到惡意RDP服務器，等等。這些對于用戶而言并不是什么不尋常的行為，但他們可能會在沒有誘惑的情況下執(zhí)行這些操作，” 0patch co 發(fā)現的 Mitja Kolsek 告訴 BleepingComputer。

Zoom于 7月10日為 Windows 用戶發(fā)布了最新版本5.1.3（28656.0709）的補丁程序，建議用戶下載最新版本的客戶端應用程序。

該發(fā)行說明確認更新“修復影響運行 Windows 7 和老用戶的安全性問題?！?/span>

已知該漏洞僅在Windows 7和早期版本中可以利用，但在 Windows Server 2008 R2 和早期版本中也可以利用。

0patch 告知其用戶，無論使用什么操作系統(tǒng)，他們的微補丁都將保護用戶免受此漏洞的影響。

未來更新

Zoom 還發(fā)布了計劃中的更新說明，該更新計劃于 2020 年 7 月 12 日面向電話和網絡用戶發(fā)布。

默認情況下，此更新承諾將加密從 AES-128 升級到 AES-256。它還為移動用戶引入了“呼叫監(jiān)視”功能，有效地使他們能夠“在各方不知情的情況下收聽呼叫；在通話中與其他用戶不知情的電話用戶通話；加入通話并與各方通話；或接聽另一個用戶的呼叫?！?/span>

其他功能和增強功能包括所謂的“新加坡數據中心選項”。該選項使帳戶所有者和管理員可以通過位于新加坡的數據中心路由實時會議和網絡研討會流量。

此外，7 月 12 日的 Web 更新還提供了定制的快速撥號，該撥號支持忙燈區(qū)（BLF）功能，呼叫寄存，創(chuàng)建外部聯(lián)系人共享目錄的功能以及“小錯誤修復”。

同時，此更新將使“電話”用戶能夠訪問電話用戶目錄，并將活動的呼叫轉移到另一個用戶的語音信箱。

建議 Zoom 用戶打開自動更新功能，以保護自己免受安全漏洞的影響，并充分利用最新的產品。

文章轉自：bleepingcomputer / 免責聲明：文章系本站編輯轉載，轉載目的在于傳遞更多信息，并不代表本站贊同其觀點和對其真實性負責。如涉及作品內容、版權和其它問題，請及時聯(lián)系我們，我們將會在24小時內刪除內容！

版權聲明：本站文章來源標注為YINGSOO的內容版權均為本站所有，歡迎引用、轉載，請保持原文完整并注明來源及原文鏈接。禁止復制或仿造本網站，禁止在非www.sddonglingsh.com所屬的服務器上建立鏡像，否則將依法追究法律責任。本站部分內容來源于網友推薦、互聯(lián)網收集整理而來，僅供學習參考，不代表本站立場，如有內容涉嫌侵權，請聯(lián)系alex-e#qq.com處理。