Zoom νέες 0day ευπάθειες (Pwn2Own 2021)

Ένα ζευγάρι ερευνητών ασφαλείας αποκάλυψε πολλές 0day ευπάθειες στο Zoom τις τελευταίες ημέρες που θα επέτρεπαν στους hacker να αναλάβουν τον υπολογιστή κάποιου, ακόμη και αν το θύμα δεν κάνει κανένα κλικ.

Η Zoom ανέφερε στο ότι κυκλοφόρησε μια (server side) για την αντιμετώπιση των τρωτών σημείων την Παρασκευή και ότι οι δεν χρειάζεται να κάνουν κάτι.

Οι ευπάθειες εντοπίστηκαν από τους Ολλανδούς ερευνητές Daan Keuper και Thijs Alkemade από την Computest , μια εταιρεία ασφάλειας, ως μέρος του διαγωνισμού Pwn2Own 2021 που διοργανώθηκε από την πρωτοβουλία Zero Day Initiative. Αν και δεν είναι γνωστές πολλές λεπτομέρειες για αυτές τις ευπάθειες λόγω της πολιτικής του διαγωνισμού, στην ουσία, οι ερευνητές χρησιμοποίησαν μια αλυσίδα τριών σφαλμάτων στην εφαρμογή Zoom για επιτραπέζιους υπολογιστές για να πραγματοποιήσουν μια απομακρυσμένη εκτέλεση κώδικα στο σύστημα προορισμού.

Ο χρήστης δεν πρέπει να κάνει κάποιο κλικ για να επιτύχει η επίθεση. Μπορείτε να δείτε το σφάλμα παρακάτω.

Σε μια δήλωση σχετικά με τη νίκη του Keuper και του Alkemade, η Computest Security ανέφερε ότι οι ερευνητές ήταν σε θέση να αναλάβουν σχεδόν πλήρως τα στοχευμένα συστήματα, εκτελώντας ενέργειες όπως ενεργοποίηση της κάμερας, ενεργοποίηση του μικροφώνου, ανάγνωση email, έλεγχος της οθόνης και λήψη ιστορικού του προγράμματος περιήγησης .

Σε περίπτωση που το ξεχάσατε, η Zoom δεν ήταν πέρυσι το συνώνυμο της ασφάλειας. Υπήρξαν Zoom Bombings που εκμεταλλευόταν τα τότε χαλαρά μέτρα ελέγχου της Zoom για να ρίξουν αποσπάσματα πορνό και ναζιστικά συνθήματα σε online συνεδρίες.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).