Security Week 2222: уязвимость в приложении Zoom

Все блоги / Про интернет 30 мая 2022 179

На прошлой неделе разработчики клиента для веб-конференций Zoom закрыли серьезную уязвимость, которая при некоторых обстоятельствах могла приводить к выполнению произвольного кода. Уязвимость получила идентификатор CVE-2022-22787, ее особенности кратко описаны в статье издания The Register и в бюллетене компании Zoom. Обнаружил проблему эксперт из команды Google Project Zero, и вот их подробный отчет представляет большой интерес.

Исследователь Иван Фратрич (Ivan Fratric) по сути смог построить атаку на далеко не самой очевидной основе. Для пересылки сообщений в Zoom используется собственная реализация открытого протокола XMPP. Проблема заключалась в том, что код, отвечающий за разбор содержимого сообщений в формате XML, различается на сервере и на клиенте. Минимальные различия в парсинге удалось превратить в полноценную атаку, которая при этом не требует никаких действий от жертвы, если передача сообщений от атакующего в принципе разрешена.

Источник: Хабрахабр

Оцените публикацию

предыдущая статья

следующая статья

Похожие публикации

Security Week 29: уязвимость в сервисе Zoom, безопасность и драма

На прошлой неделе исследователь Джонатан Лейтсач опубликовал весьма эмоциональный пост об уязвимостях в клиенте для веб-конференций Zoom для операционной системы macOS. В данном случае не совсем понятно, была ли уязвимость непреднамеренным багом или заранее спланированной фичей. Попробуем

подробнее »

15 июля 2019

Security Week 2203: wormable-уязвимость в Windows

На прошлой неделе, 11 января, компания Microsoft выпустила очередной ежемесячный набор патчей для собственных продуктов. Всего было закрыто 97 уязвимостей. Девять уязвимостей классифицированы как критические, а из них наибольший интерес представляет проблема CVE-2022-21907 в модуле HTTP.sys,

подробнее »

17 января 2022

Уязвимость софта для телеконфенций Zoom позволяет любым сайтам шпионить за пользователями через веб-камеру

Изображение: Medium.com Исследователь безопасности обнаружил уязвимость в софте для проведения телеконференций Zoom. При использовании программы на компьютерах Mac, любой открытый пользователем сайт может активировать камеру на устройстве без запроса разрешения на данное действие. Сделать это можно

подробнее »

10 июля 2019

Security Week 15: настоящие и воображаемые уязвимости Zoom

В четверг 2 апреля издание The Guardian поделилось впечатляющими цифрами о платформе для веб-конференций Zoom: рост посещаемости этого сервиса составил 535%. Определенно Zoom лучше конкурентов смог воспользоваться ситуацией, получив прирост если не в деньгах, то точно в популярности и количестве

подробнее »

7 апреля 2020

Security Week 2220: уязвимость в офисных устройствах Zyxel

Компания Zyxel на прошлой неделе закрыла критическую уязвимость в трех офисных брандмауэрах серий Zywall ATP и USG FLEX. Проблему обнаружила компания Rapid7, которая выложила технический отчет с видео, демонстрирующим эксплуатацию дыры. Уязвимость получила идентификатор CVE-2022-30525 и рейтинг

подробнее »

16 мая 2022

Security Week 28: уязвимости PrintNightmare в деталях

На прошлой неделе специалисты «Лаборатории Касперского» опубликовали разбор двух уязвимостей в системе печати Windows, получившие название PrintNightmare. В среду 7 июля уязвимости закрыли патчем для Windows 7, 10 и серверных ОС начиная с Windows Server 2008 SP2. Проблемы в службе печати Windows,

подробнее »

12 июля 2021