Cybersikkerhedseksperter fra Cisco Talos har fundet to kritiske sårbarheder i Zoom-versioner op til 4.6.10, som gør det muligt for hackere at køre ondsindede filer på en eller flere videomødedeltageres PC'er uden ret meget brugerinteraktion.
Den første sårbarhed udnytter Zooms brug af GIPHY's GIF-tjeneste og gør det muligt for en hacker at indlejre GIF's fra en tredjepartsserver, fordi Zoom-applikationen ikke tjekker om den delte GIF kommer fra GIPHY's servere eller en tredjeparts-server. Den anden sårbarhed udnytter, at Zoom zipper kodestykker, som deles via chatten, og automatisk unzipper dem på modtagerens system, men ikke validerer indholdet inden.
»Zooms chatfunktionalitet er bygget oven på XMPP-standarden med yderligere udvidelser for at understøtte den rige brugeroplevelse. En af disse udvidelser understøtter en funktion til at inkludere kildekodestykker, som har 'full syntax highlighting support'. Denne funktion til at sende kodestykker kræver installation af et ekstra plugin, men at modtage dem gør ikke,« skriver sikkerhedseksperterne fra Cisco Talos i et indlæg på deres hjemmeside.