Zoom 緊急修補 2 個可導致遠端執行任意程式碼的嚴重漏洞.png

廣受全球遠距會議用戶愛用的 Zoom,近來被發現兩個嚴重資安漏洞,可能導致駭侵者利用此漏洞,遠端執行任意程式碼。

第一個漏洞編號為 CVE-2020-6109,發生在 Zoom 處理 GIF 圖像時發生的錯誤;駭侵者可傳送一個特製的訊息到欲攻擊的線上會議用戶或群組,並以該用戶當時擁有的權限範圍內,在任意目錄中寫入一個檔案。

駭侵者可以傳送一個以 GIF 副檔名結尾的檔案,但檔案內容實際上是一段可執行的指令碼或 script;駭侵者就可以利用這段偽裝的程式碼來進行駭侵攻擊。

這個漏洞的 CVSS 3.0 危險評分高達 8.5 分。

編號 CVE-2020-6110 的漏洞則和檔案處理的錯誤有關。駭侵者可以發送一段特製訊息給會議室中的個人或群組,並利用這個漏洞在部分特定目錄中寫入一個自我解壓縮的 zip 檔,以執行其他駭侵攻擊活動。

這個漏洞的 CVSS 3.0 危險評分也相當高,達 8.0 分。

兩個漏洞都存於 Zoom 4.6.10 之前的各作業系統版本,另一個漏洞則也存於新一點的 Zoom 4.6.11。

發現這兩個漏洞的,是網通大廠 Cisco 旗下的資安研究團隊 Talos。該單位在發現漏洞後即通報 Zoom 進行修補,目前這兩個漏洞均已在最新版本的 Zoom 中得到解決。

尚未更新至最新版本 Zoom 的用戶,請盡速更新,以避免遭駭侵者利用此二漏洞發動攻擊。

  • CVE編號:CVE-2020-6109、CVE-2020-6110
  • 影響產品/版本:Zoom 4.6.11 與先前版本
  • 解決方案:更新至 Zoom 最新版本

  • 參考連結:

https://blog.talosintelligence.com/2020/06/vuln-spotlight-zoom-code-execution-june-2020.html

https://www.securityweek.com/zoom-patches-two-serious-vulnerabilities-found-cisco-researchers

    twcert 發表在 痞客邦 留言(0) 人氣()