Сервис для организации видеоконференций Zoom, который обрел особую популярность после начала пандемии коронавируса, имеет ряд серьезных уязвимостей. Информацию обо всех «дырах» разработчикам предоставил Иван Фретрик.
Специалист компании Google Project Zero обнаружил 4 серьезных уязвимости, которые содержит в себе популярный сервис для создания видеоконференций Zoom. Они могли быть использованы хакерами для взлома собеседников, при помощи отправки специальных XMPP-сообщений. С их помощью хакеры могут внедрить на компьютер пользователя вредоносный код и запустить его исполнение.
Все выявленные уязвимости эксперт оценил с точки зрения опасности. Самой «опасной» из них, которая заключается в некорректном парсинге XML непосредственно в клиенте программы, присвоили 8,1 балла по шкале опасности CVSS.
По словам Фретрика, данные уязвимости также позволяют хакерам отправлять сообщения пользователям, которые будут демонстрироваться, как уведомления с сервера Zoom. Получив такое сообщение, пользователи могут быть введены в заблуждение, что облегчит хакерам проникновение на компьютер потенциальной жертвы.
Получив отчет от экспертов, разработчики Zoom сразу же исправили все выявленные проблемы и выпустили новый патч с обновлением. Специалисты рекомендуют всем пользователям обновить свое приложение до актуальной версии Zoom 5.10.0, чтобы не стать жертвой злоумышленников, которые решат воспользоваться этими уязвимостями.