Популярное приложение для видеосвязи Zoom оказалось уязвимо перед хакерами
Выяснил эксперт по безопасностиЭксперт по безопасности подразделения Google Project Zero Иван Фретрик обнаружил в сервисе для видеосвязи Zoom 4 уязвимости, которые позволяют злоумышленнику отправить жертве вредоносные сообщения, замаскировав их под отправку с легитимного сервера.
/imgs/2022/05/25/13/5420751/e85f4c8c0a47229ac4c9cbcc65155d4917c14b10.jpeg "Популярное приложение для видеосвязи Zoom оказалось уязвимо перед хакерами")
Специалист классифицировал уязвимости по некорректному парсингу XML в клиенте Zoom, некорректно ограниченных cookies сессии, даунгрейду пакетов обновлений в клиенте Zoom для Windows и недостаточной валидации хоста при переключении сервера.
Отмечается, что наименее опасная «дыра» в безопасности приложения получила 5,9 баллов, а самая опасная — 8,1 балл. Благодаря им хакер может добиться даже подключения Zoom к вредоносному серверу и загрузки потенциально опасного обновления.
Пользователям рекомендуется обновить Zoom до версии 5.10.0, чтобы снизить риски эксплуатации выявленных багов.