Zoom 5.10.0 виправляє серйозні проблеми безпеки

Популярний сервіс для відеодзвінків Zoom отримав велике оновлення безпеки. Версія Zoom 5.10.0 усуває різні уразливості, зокрема кілька серйозних проблем, виявлених дослідниками безпеки в Google Project Zero.

• У WhatsApp зʼявився шахрайський метод, який працює за допомогою простого телефонного дзвінка
• Apple може придбати ігрову компанію Electronic Arts
• Xbox офіційно зʼявиться в Україні, а Microsoft допомагатиме документувати злочини росії

Одна з уразливостей, виправлених у цьому оновленні, допускала віддалене виконання коду. Надсилання спеціально створеного повідомлення дозволило зловмиснику обманом змусити користувачів Zoom підключитися до проміжного сервера, не помітивши цього. Зловмисник міг запускати й серйознішу атаку. Наприклад, підробка повідомлення, нібито, від певного користувача. Можливо, хакер міг би контролювати всі повідомлення, що надходять як від сервера, так і від клієнта.

Проблема зачіпала застосунок Zoom для Android, iOS, Linux, macOS та Windows. Останнє оновлення (версія 5.10.0), випущене минулого тижня, це виправляє.

Версія Zoom 5.10.0 також виправляє ще кілька проблем із безпекою

Інша серйозна уразливість не дозволяла клієнту Zoom правильно перевіряти версію складання інсталяційного пакета в процесі оновлення. Таким чином, зловмисник міг обманом змусити користувача знизити версію своєї програми Zoom до менш безпечної версії. Ця уразливість отримала оцінку CVSS 7.5 і торкнулася лише клієнта Windows.

Менш серйозна помилка дозволяла підробляти користувача, надсилаючи його файли cookie сеансу Zoom до домену, що не належить компанії. Вона була виявлена у клієнтах для Android, iOS, Linux, macOS і Windows.

І остання, але не менш важлива, уразливість дозволяла зловмисникам обманювати користувачів під час запиту на перемикання сервера. Користувачі, що нічого не підозрюють, можуть в результаті підключитися до шкідливого сервера замість Zoom. Це відкриває можливість більш серйозної атаки.

Правила коментування

Вітаємо Вас на сайті Pingvin Pro. Ми докладаємо всіх зусиль, аби переконатися, що коментарі наших статей вільні від тролінгу, спаму та образ. Саме тому, на нашому сайті включена премодерація коментарів. Будь ласка, ознайомтеся з кількома правилами коментування.

1. Перш за все, коментування відбувається через сторонній сервіс Disqus. Модератори сайту не несуть відповідальність за дії сервісу.
2. На сайті ввімкнена премодерація. Тому ваш коментар може з’явитися не одразу. Нам теж інколи треба спати.
3. Будьте ввічливими – ми не заохочуємо на сайті грубість та образи. Пам’ятайте, що слова мають вплив на людей! Саме тому, модератори сайту залишають за собою право не публікувати той чи інший коментар.
4. Будь-які образи, відкриті чи завуальовані, у бік команди сайту, конкретного автора чи інших коментаторів, одразу видаляються. Агресивний коментатор може бути забанений без попереджень і пояснень з боку адміністрації сайту.
5. Якщо вас забанили – на це були причини. Ми не пояснюємо причин ані тут, ані через інші канали зв’язку з редакторами сайту.
6. Коментарі, які містять посилання на сторонні сайти чи ресурси можуть бути видалені без попереджень. Ми не рекламний майданчик для інших ресурсів.
7. Якщо Ви виявили коментар, який порушує правила нашого сайту, обов’язково позначте його як спам – модератори цінують Вашу підтримку.