Zoom 5.10.0 виправляє серйозні проблеми безпеки

Популярний сервіс для відеодзвінків Zoom отримав велике оновлення безпеки. Версія Zoom 5.10.0 усуває різні уразливості, зокрема кілька серйозних проблем, виявлених дослідниками безпеки в Google Project Zero.

• У WhatsApp зʼявився шахрайський метод, який працює за допомогою простого телефонного дзвінка
• Apple може придбати ігрову компанію Electronic Arts
• Xbox офіційно зʼявиться в Україні, а Microsoft допомагатиме документувати злочини росії

Одна з уразливостей, виправлених у цьому оновленні, допускала віддалене виконання коду. Надсилання спеціально створеного повідомлення дозволило зловмиснику обманом змусити користувачів Zoom підключитися до проміжного сервера, не помітивши цього. Зловмисник міг запускати й серйознішу атаку. Наприклад, підробка повідомлення, нібито, від певного користувача. Можливо, хакер міг би контролювати всі повідомлення, що надходять як від сервера, так і від клієнта.

Проблема зачіпала застосунок Zoom для Android, iOS, Linux, macOS та Windows. Останнє оновлення (версія 5.10.0), випущене минулого тижня, це виправляє.

Версія Zoom 5.10.0 також виправляє ще кілька проблем із безпекою

Інша серйозна уразливість не дозволяла клієнту Zoom правильно перевіряти версію складання інсталяційного пакета в процесі оновлення. Таким чином, зловмисник міг обманом змусити користувача знизити версію своєї програми Zoom до менш безпечної версії. Ця уразливість отримала оцінку CVSS 7.5 і торкнулася лише клієнта Windows.

Менш серйозна помилка дозволяла підробляти користувача, надсилаючи його файли cookie сеансу Zoom до домену, що не належить компанії. Вона була виявлена у клієнтах для Android, iOS, Linux, macOS і Windows.

І остання, але не менш важлива, уразливість дозволяла зловмисникам обманювати користувачів під час запиту на перемикання сервера. Користувачі, що нічого не підозрюють, можуть в результаті підключитися до шкідливого сервера замість Zoom. Це відкриває можливість більш серйозної атаки.