自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

國外研究人員發(fā)現(xiàn)Zoom中存在多個安全漏洞

安全
Zoom是流行的視頻會議應(yīng)用程序,發(fā)展迅速,到2020年6月份左右已超過2億人次,但是該應(yīng)用程序出名容易成為黑客的攻擊主要目標(biāo)。

 Zoom是流行的視頻會議應(yīng)用程序,發(fā)展迅速,到2020年6月份左右已超過2億人次,但是該應(yīng)用程序出名容易成為黑客的攻擊主要目標(biāo)。

 

 

 

 

國外安全研究員Mazin Ahmed在2020年DEFCON會議上介紹了他的發(fā)現(xiàn),并披露了Zoom的漏洞,目前所有漏洞已在5.2.4版中修復(fù)。

Ahmed發(fā)現(xiàn)了適用于Linux的Zoom Launcher漏洞,該漏洞可能使攻擊者以啟動“ zoom”可執(zhí)行文件的方式運行任何未經(jīng)授權(quán)的軟件。

他使用漏洞情報平臺FullHunt.io來查詢與Zoom關(guān)聯(lián)的域。

漏洞列表:

  • 放大暴露的公共Kerberos身份驗證服務(wù)器
  • Zoom Production Server上的內(nèi)存泄漏
  • Zoom Production Server上無法利用的RCE
  • 可訪問的Zoom服務(wù)器上的Shadow IT問題

帶有 Zoom App的Linux 缺陷:

  • TLS / SSL實施錯誤的設(shè)計實踐
  • 有關(guān)Zoom Launcher實施的非常糟糕的設(shè)計實踐。
  • Zoom用戶之間的端到端加密消息以純文本格式存儲在磁盤上。
  • 所有本地用戶均可訪問的Zoom Local Database,包括私有的端到端加密消息(以純文本存儲)和訪問令牌。

他觀察到Zoom暴露了Kerberos服務(wù),該服務(wù)提供了更廣泛的攻擊面來枚舉登錄憑據(jù)。

另一個漏洞是Zoom上的圖像轉(zhuǎn)換,它將GIF轉(zhuǎn)換為PNG,進行圖像轉(zhuǎn)換Zoom使用具有內(nèi)存泄漏漏洞的ImageMagick版本,由于未初始化ImageMagick的GIF解析器上的內(nèi)存空間,因此發(fā)生了內(nèi)存泄漏漏洞。

Ahmed發(fā)現(xiàn)“ Zoom TLS / SSL在設(shè)計上已被Linux破壞,編寫了一個PoC,將TLS / SSL證書指紋注入到本地Zoom數(shù)據(jù)庫中。在用戶計算機上執(zhí)行此代碼后,將接受所有注入的證書,而不會在Zoom上出錯。”Zoom沒有完全端到端加密。

Zoom于2020年8月3日發(fā)布了更新,在Zoom版本5.2.4的更新中,所有安全漏洞已得到修復(fù)。

 

責(zé)任編輯:華軒 來源: 今日頭條
相關(guān)推薦

2011-10-28 10:17:11

2011-10-28 09:03:39

2020-08-16 08:50:03

Zoom網(wǎng)絡(luò)攻擊漏洞

2013-01-23 09:34:32

2020-10-14 10:39:50

漏洞網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)安全

2014-12-25 09:51:32

2014-11-07 10:37:57

2012-02-16 08:27:14

安全漏洞RSA算法

2013-08-09 13:13:32

2014-02-14 15:44:46

2021-12-06 13:37:29

路由器漏洞安全

2023-06-27 09:12:34

2010-04-19 10:32:07

2011-08-23 13:37:47

2022-10-09 11:03:46

漏洞宜家智能燈泡

2021-09-02 08:44:06

漏洞網(wǎng)絡(luò)安全網(wǎng)絡(luò)攻擊

2023-07-07 15:44:12

漏洞網(wǎng)絡(luò)安全

2019-05-22 08:11:51

Winnti惡意軟件Linux

2012-07-31 09:18:35

Windows 8漏洞

2015-08-04 09:56:48

點贊
收藏

51CTO技術(shù)棧公眾號