|
|
51CTO旗下网站
|
|
移动端

国外研究人员发现Zoom中存在多个安全漏洞

Zoom是流行的视频会议应用程序,发展迅速,到2020年6月份左右已超过2亿人次,但是该应用程序出名容易成为黑客的攻击主要目标。

作者:SOWORD科技言来源:今日头条|2020-08-12 08:08

Zoom是流行的视频会议应用程序,发展迅速,到2020年6月份左右已超过2亿人次,但是该应用程序出名容易成为黑客的攻击主要目标。

国外安全研究员Mazin Ahmed在2020年DEFCON会议上介绍了他的发现,并披露了Zoom的漏洞,目前所有漏洞已在5.2.4版中修复。

Ahmed发现了适用于Linux的Zoom Launcher漏洞,该漏洞可能使攻击者以启动“ zoom”可执行文件的方式运行任何未经授权的软件。

他使用漏洞情报平台FullHunt.io来查询与Zoom关联的域。

漏洞列表:

  • 放大暴露的公共Kerberos身份验证服务器
  • Zoom Production Server上的内存泄漏
  • Zoom Production Server上无法利用的RCE
  • 可访问的Zoom服务器上的Shadow IT问题

带有 Zoom App的Linux 缺陷:

  • TLS / SSL实施错误的设计实践
  • 有关Zoom Launcher实施的非常糟糕的设计实践。
  • Zoom用户之间的端到端加密消息以纯文本格式存储在磁盘上。
  • 所有本地用户均可访问的Zoom Local Database,包括私有的端到端加密消息(以纯文本存储)和访问令牌。

他观察到Zoom暴露了Kerberos服务,该服务提供了更广泛的攻击面来枚举登录凭据。

另一个漏洞是Zoom上的图像转换,它将GIF转换为PNG,进行图像转换Zoom使用具有内存泄漏漏洞的ImageMagick版本,由于未初始化ImageMagick的GIF解析器上的内存空间,因此发生了内存泄漏漏洞。

Ahmed发现“ Zoom TLS / SSL在设计上已被Linux破坏,编写了一个PoC,将TLS / SSL证书指纹注入到本地Zoom数据库中。在用户计算机上执行此代码后,将接受所有注入的证书,而不会在Zoom上出错。”Zoom没有完全端到端加密。

Zoom于2020年8月3日发布了更新,在Zoom版本5.2.4的更新中,所有安全漏洞已得到修复。

【编辑推荐】

  1. AI攻击AI,升级的网络安全战
  2. 谷歌 Chrome 浏览器发现漏洞,需尽快升至 84 及以上版本
  3. 安全分析 | 7月至今数字货币及加密领域相关黑客攻击事件
  4. 工信部副部长刘烈宏:网络安全已成新一轮科技革命重要支撑
  5. Google Chrome浏览器漏洞使数十亿用户遭受数据被盗风险
【责任编辑:华轩 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

大数据安全运维实战

大数据安全运维实战

CDH+Ambari
共20章 | 大数据陈浩

91人订阅学习

实操案例:Jenkins持续交付和持续部署

实操案例:Jenkins持续交付和持续部署

微服务架构下的自动化部署
共18章 | freshman411

188人订阅学习

思科交换网络安全指南

思科交换网络安全指南

安全才能无忧
共5章 | 思科小牛

112人订阅学习

视频课程+更多

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO官微