国外研究人员发现Zoom中存在多个安全漏洞

 Zoom是流行的视频会议应用程序，发展迅速，到2020年6月份左右已超过2亿人次，但是该应用程序出名容易成为黑客的攻击主要目标。

温泉网站建设公司成都创新互联,温泉网站设计制作，有大型网站制作公司丰富经验。已为温泉数千家提供企业网站建设服务。企业网站搭建\成都外贸网站建设公司要多少钱，请找那个售后服务好的温泉做网站的公司定做！

国外安全研究员Mazin Ahmed在2020年DEFCON会议上介绍了他的发现，并披露了Zoom的漏洞，目前所有漏洞已在5.2.4版中修复。

Ahmed发现了适用于Linux的Zoom Launcher漏洞，该漏洞可能使攻击者以启动“ zoom”可执行文件的方式运行任何未经授权的软件。

他使用漏洞情报平台FullHunt.io来查询与Zoom关联的域。

漏洞列表：

• 放大暴露的公共Kerberos身份验证服务器
• Zoom Production Server上的内存泄漏
• Zoom Production Server上无法利用的RCE
• 可访问的Zoom服务器上的Shadow IT问题

带有 Zoom App的Linux 缺陷：

• TLS / SSL实施错误的设计实践
• 有关Zoom Launcher实施的非常糟糕的设计实践。
• Zoom用户之间的端到端加密消息以纯文本格式存储在磁盘上。
• 所有本地用户均可访问的Zoom Local Database，包括私有的端到端加密消息(以纯文本存储)和访问令牌。

他观察到Zoom暴露了Kerberos服务，该服务提供了更广泛的攻击面来枚举登录凭据。

另一个漏洞是Zoom上的图像转换，它将GIF转换为PNG，进行图像转换Zoom使用具有内存泄漏漏洞的ImageMagick版本，由于未初始化ImageMagick的GIF解析器上的内存空间，因此发生了内存泄漏漏洞。

Ahmed发现“ Zoom TLS / SSL在设计上已被Linux破坏，编写了一个PoC，将TLS / SSL证书指纹注入到本地Zoom数据库中。在用户计算机上执行此代码后，将接受所有注入的证书，而不会在Zoom上出错。”Zoom没有完全端到端加密。

Zoom于2020年8月3日发布了更新，在Zoom版本5.2.4的更新中，所有安全漏洞已得到修复。

网站标题：国外研究人员发现Zoom中存在多个安全漏洞
转载来源：http://www.hantingmc.com/qtweb/news32/494882.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联