據(jù)Security affairs消息，Google Project Zero安全研究人員近日發(fā)現(xiàn)視頻會議軟件Zoom存在兩個重要漏洞，可能會讓用戶遭受攻擊。

這兩個漏洞會影響Windows、macOS、Linux、iOS 和 Android 平臺上Zoom客戶端，這意味著幾乎所有的用戶都處于漏洞的威脅之中。

第一個漏洞編號為CVE-2021-34423，是一個高嚴(yán)重性的緩沖區(qū)溢出漏洞，CVSS 基本得分為7.3分。第二個漏洞編號為CVE-2021-34424，是一個高嚴(yán)重性的內(nèi)存損壞漏洞，CVSS 基本得分也是7.3分。

目前，Google已經(jīng)將這兩個漏洞已經(jīng)分享給Zoom。Zoom 發(fā)布的安全公告承認(rèn)了這兩個漏洞，并表示，“部分產(chǎn)品發(fā)現(xiàn)了一個緩沖區(qū)溢出漏洞和內(nèi)存損壞漏洞，這可能會讓應(yīng)用程序或服務(wù)崩潰，攻擊者可利用這些漏洞執(zhí)行任意代碼，或暴露進(jìn)程的內(nèi)容狀態(tài)等。”

以下是受影響的 Zoom 產(chǎn)品列表：

• 5.8.4 版之前的 Zoom 會議客戶端(適用于 Android、iOS、Linux、macOS 和 Windows)
• 5.8.1 版之前的用于 Blackberry 會議的 Zoom 客戶端(適用于 Android 和 iOS)
• 5.8.4 版之前的用于會議的 Zoom Client for Intune(適用于 Android 和 iOS)
• 適用于 Chrome 操作系統(tǒng)的 Zoom Client for Meetings 5​​.0.1 版之前
• 5.8.3 版之前的用于會議室的 Zoom Rooms(適用于 Android、AndroidBali、macOS 和 Windows)
• 版本 5.8.3 之前的 Zoom Rooms 控制器(適用于 Android、iOS 和 Windows)

值得一提的是，就在11月29日，Zoom宣布推出自動更新功能，旨在簡化桌面客戶端的更新過程，目前僅適用于Windows和macOS，移動設(shè)備可以通過各自應(yīng)用商店的內(nèi)置自動更新程序進(jìn)行更新。

Zoom公司的隱私&安全技術(shù)產(chǎn)品經(jīng)理稱，“對于個人用戶來說，自動更新功能將默認(rèn)啟動，如果想要關(guān)閉這一功能，用戶可以在首次安裝或首次更新后選擇退出其桌面客戶端的自動更新。”

此外，Zoom 用戶還可以自主選擇更新的頻率：如果選擇高頻率更新，那么將會立即安裝最新的軟件和功能;如果選擇低頻率更新，那么將會直接降低更新次數(shù)，且更專注于最大限度提高穩(wěn)定性。

雖然該平臺在此之前還向企業(yè)用戶提供了自動更新，但此次更新“將目標(biāo)受眾擴(kuò)大到包括非企業(yè)組織成員的所有個人用戶”。