您当前的位置是:  首页 > 资讯 > 国际 >
 首页 > 资讯 > 国际 >

研究人员揭露Zoom重大RCE漏洞

2021-04-12 14:18:07   作者:   来源:CTI论坛   评论:0  点击:


  对此Zoom坦承至少一个漏洞出在群组通讯产品Zoom Chat上,在补救措施出现前,建议所有使用者只接受可信任者所发出的通话请求
  Zoom的声明则透露,至少一个漏洞出在群组通讯产品Zoom Chat上。Zoom表示正致力于缓解该问题,但强调Zoom Meeting及Zoom Video Webinar会议不受该问题影响。此外,攻击必须从受害者接收的外部联络人发动,或是必需与受害者同属一个公司帐号。
  上周Pwn2Own竞赛中,研究人员揭露视频平台Zoom漏洞,可让攻击者在无需用户任何动作下,远端执行程式码(RCE)。
  Pwn2Own是由Zero Day Initiative 主办的白帽骇客竞赛,研究人员寻找出市面主要软件及行动装置的重大漏洞,并提供防御攻击及市售攻击程式的方法。
  Computest 研究人员 Daan Keuper 及 Thijs Alkemade展示串联Zoom 三项漏洞即可执行任意程式,过程中无需受害者互动,只要启动Zoom视频即受害。两名研究人员并获得20万美元奖金。
  在稍早的影片中,研究人员展示在受害系统上开启计算机程式。一般骇客会以此展示他们能在受害机器上执行任意程式码。
  ZDI周五证实后公布这项发现,但由于Zoom尚未完成修补,漏洞及攻击细节皆未揭露。
  根据安全厂商MalwareByte指出,目前仅知这项攻击手法可在Windows及Mac版软件执行,但不影响浏览器版。至于Android及iOS版是否也受影响则不得而知,因为研究人员并未研究到这两个版本。
  Zoom的声明则透露,至少一个漏洞出在群组通讯产品Zoom Chat上。Zoom表示正致力于缓解该问题,但强调Zoom Meeting及Zoom Video Webinar会议不受该问题影响。此外,攻击必须从受害者接收的外部联络人发动,或是必需与受害者同属一个公司帐号。
  Zoom建议所有使用者只接受熟悉的个人发出的通话请求。
【免责声明】本文仅代表作者本人观点,与CTI论坛无关。CTI论坛对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。

专题

CTI论坛会员企业