0 |
Двое исследователей из фирмы Computest выиграли 200 тыс. долл. — один из крупнейших денежных призов на конкурсе «белых хакеров» Zero Day Initiative, организованном Pwn2Own с целью обнаружения недоработок безопасности в популярном ПО и сервисах.
Даан Кеупер (Daan Keuper) и Тийс Алкемаде (Thijs Alkemade) получили награду за демонстрацию цепочки атак на три незакрытые уязвимости ПО для видеоконференций Zoom, позволяющей удалённо запускать выполнение кода на скомпрометированной машине без каких-либо действий со стороны пользователя.
Конкретные технические детали уязвимостей хранятся в секрете, чтобы дать Zoom время исправить критическую проблему безопасности. Однако анимация атаки демонстрирует, как злоумышленник открывает программу калькулятора машины, на которой запущен Zoom.
По информации от Malwarebytes, данная атака работает с версиями Zoom для Windows и Mac, но еще не тестировалась на iOS или Android. Она не представляет опасности для браузерного варианта Zoom.
В заявлении Zoom поблагодарила исследователей из Computest. Компания сообщила, что «работает над устранением этой проблемы в Zoom Chat» и что внутрисессионные встречи Zoom Meetings, а также Zoom Video Webinars не затронуты этим эксплойтом.
«Атака также должна исходить от одобренного внешнего контакта или быть частью той же учётной записи организации, в которую входит жертва», — добавила Zoom, порекомендовав пользователям качестве наилучшей практики, принимать запросы на добавление контакта только от людей, которых они знают и которым доверяют.
В соответчик со стандартной практикой ответственного раскрытия уязвимостей, поставщикам ПО предоставляется 90-дневное окно для устранения обнаруженных проблем безопасности. Конечным пользователям нужно дождаться выпуска патча, но, если они обеспокоены риском, то могут пока работать с Zoom из браузера.
Из 23 участников конкурса Zero Day Initiative также по 200 тыс. долл. получили DEVCORE и OV за найденные баги в Microsoft Exchange и Microsoft Teams.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |