`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Эксплойт Zoom удалённо запускает код без действий пользователя

0 
 

Эксплойт Zoom удалённо запускает код без действий пользователя

Двое исследователей из фирмы Computest выиграли 200 тыс. долл. — один из крупнейших денежных призов на конкурсе «белых хакеров» Zero Day Initiative, организованном Pwn2Own с целью обнаружения недоработок безопасности в популярном ПО и сервисах.

Даан Кеупер (Daan Keuper) и Тийс Алкемаде (Thijs Alkemade) получили награду за демонстрацию цепочки атак на три незакрытые уязвимости ПО для видеоконференций Zoom, позволяющей удалённо запускать выполнение кода на скомпрометированной машине без каких-либо действий со стороны пользователя.

Конкретные технические детали уязвимостей хранятся в секрете, чтобы дать Zoom время исправить критическую проблему безопасности. Однако анимация атаки демонстрирует, как злоумышленник открывает программу калькулятора машины, на которой запущен Zoom.

По информации от Malwarebytes, данная атака работает с версиями Zoom для Windows и Mac, но еще не тестировалась на iOS или Android. Она не представляет опасности для браузерного варианта Zoom.

В заявлении Zoom поблагодарила исследователей из Computest. Компания сообщила, что «работает над устранением этой проблемы в Zoom Chat» и что внутрисессионные встречи Zoom Meetings, а также Zoom Video Webinars не затронуты этим эксплойтом.

«Атака также должна исходить от одобренного внешнего контакта или быть частью той же учётной записи организации, в которую входит жертва», — добавила Zoom, порекомендовав пользователям качестве наилучшей практики, принимать запросы на добавление контакта только от людей, которых они знают и которым доверяют.

В соответчик со стандартной практикой ответственного раскрытия уязвимостей, поставщикам ПО предоставляется 90-дневное окно для устранения обнаруженных проблем безопасности. Конечным пользователям нужно дождаться выпуска патча, но, если они обеспокоены риском, то могут пока работать с Zoom из браузера.

Из 23 участников конкурса Zero Day Initiative также по 200 тыс. долл. получили DEVCORE и OV за найденные баги в Microsoft Exchange и Microsoft Teams.

Вы можете подписаться на нашу страницу в LinkedIn!

0 
 

Напечатать Отправить другу

Читайте также

 
 

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT