Sikkerhedseksperter finder to kritiske sårbarheder i Zoom

Illustration: Bigstock

Hackere kan udnytte to kritiske sårbarheder i tidligere versioner af Zooms chatfunktion til at køre ondsindet kode.

Frederik Marcher Hansen Mandag, 8. juni 2020 - 8:462

Cybersikkerhedseksperter fra Cisco Talos har fundet to kritiske sårbarheder i Zoom-versioner op til 4.6.10, som gør det muligt for hackere at køre ondsindede filer på en eller flere videomødedeltageres PC'er uden ret meget brugerinteraktion.

Det skriver The Hacker News.

Den første sårbarhed udnytter Zooms brug af GIPHY's GIF-tjeneste og gør det muligt for en hacker at indlejre GIF's fra en tredjepartsserver, fordi Zoom-applikationen ikke tjekker om den delte GIF kommer fra GIPHY's servere eller en tredjeparts-server. Den anden sårbarhed udnytter, at Zoom zipper kodestykker, som deles via chatten, og automatisk unzipper dem på modtagerens system, men ikke validerer indholdet inden.

Læs også: Zoom afviser kryptering til gratis-brugere

»Zooms chatfunktionalitet er bygget oven på XMPP-standarden med yderligere udvidelser for at understøtte den rige brugeroplevelse. En af disse udvidelser understøtter en funktion til at inkludere kildekodestykker, som har 'full syntax highlighting support'. Denne funktion til at sende kodestykker kræver installation af et ekstra plugin, men at modtage dem gør ikke,« skriver sikkerhedseksperterne fra Cisco Talos i et indlæg på deres hjemmeside.

Sponseret indholdSådan udfordrer DevOps din sikkerhed – og sådan løser du problemet

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (2)

Sortér kommentarer

Ældste først
Nyeste først
Bedste først

#1 Peter Jensen 8. juni 2020 - 13:32

Kun naturligt for kinesisk software

Det er kun naturligt at forvente for software der er udviklet af kinesiske firmaer. Det kinesiske diktatur regime kræver bagdøre til alt software som deres firmaer udvikler og sender til de demokratiske lande i vesten. Uden bagdøre har regimet ingen mulighed for at spionere mod de vestlige firmaer og samle efteretningsmateriale på de personer der kommunikererer via deres software. Det er naivt at tro at kinesisk kontrolleret software skulle være sikkert på nogen måde.

#2 Jakob Dahl 10. juni 2020 - 12:27

At holde software opdateret

Nu ved jeg ikke hvordan deres disclosure process har været, men det tyder på at de har arbejdet sammen med Zoom om det. Nyheden kommer sammen ved version 5.0.5 og i release notes til den står:

Release notes of 5.0.5 (26213.0602) Changes to existing features -Re-enable GIPHY Chat features -Improved transparency of channel privacy controls -Enabling public channel admins and members to add external users Resolved Issues -Minor bug fixes

Alt tyder som jeg ser det på at det er kørt helt efter bogen, Cisco folkene har fundet sårbarheden, henvendt sig til Zoom, Zoom har fikset det og udgivet en opdatering, Cisco folkene er gået public

Log ind eller Opret konto for at kommentere