Zoom для пристроїв на базі Windows і macOS вразливий перед перехопленням керування комп'ютером
Масштабування для пристроїв Windows і macOS, вразливих до викрадення комп'ютера
Роботу експлойту продемонстрували два голландських дослідника безпеки під час хакерського конкурсу Pwn2Own. Комбінація з трьох вразливостей в Zoom дала їм повний віддалений контроль над пристроєм жертви, з боку якого не потрібно ніяких дій, крім як запустити додаток.
Експлуатується тільки версія Zoom для пристроїв Windows і macOS — веб-клієнт все ще захищений.
Як саме влаштований експлойт, дослідники не розповідають. Інформації про нього немає на сайті Zoom, який є одним зі спонсорів конкурсу. Згідно з правилами Pwn2Own, у розробників є 90 днів, щоб закрити баги, виявлені учасниками.
За їх знахідку дослідники безпеки отримали $ 200 тис.
У коментарі Tom's Guide представники компанії зазначили, що вже працюють над виправленням. Вразливості впливають лише на Zoom-чати і не впливають на конференції та вебінари. Атака можлива тільки в тому випадку, якщо жертва додала зловмисника в контакти або якщо вони використовують той же корпоративний аккаунт.
Поки проблеми не будуть усунені, користувачам краще віддати перевагу веб-версії Zoom і не приймати запити на контакти від незнайомців.
