据Security affairs消息,Google Project Zero安全研究人员最近发现了视频会议软件Zoom有两个重要的漏洞可能会攻击用户。
这两个漏洞漏洞Windows、macOS、Linux、iOS 和 Android 平台上Zoom客户端,这意味着几乎所有受到漏洞的威胁。
第一个漏洞编号是CVE-2021-34423,漏洞溢出在高严重缓冲区,CVSS 基本得分为7.3分。第二个漏洞编号是CVE-2021-34424,内存损伤漏洞严重性高,CVSS 基本得分也是如此7.3分。
目前,Google这两个漏洞已经分享了Zoom。Zoom 发布的安全公告承认了这两个漏洞,并表示,“一些产品在缓冲区发现溢出漏洞和内存损坏漏洞,这可能会导致应用程序或服务崩溃,攻击者可以使用这些漏洞执行任何代码状态。”
以下是受影响的 Zoom 产品清单:
- 5.8.4 版前的 Zoom 会议客户端(适用于 Android、iOS、Linux、macOS 和 Windows)
- 5.8.1 版前用于 Blackberry 会议的 Zoom 客户端(适用于 Android 和 iOS)
- 5.8.4 版本以前用于会议Zoom Client for Intune(适用于 Android 和 iOS)
- 适用于 Chrome 操作系统的 Zoom Client for Meetings 5.0.1 版之前
- 5.8.3 版本前用于会议室的 Zoom Rooms(适用于 Android、AndroidBali、macOS 和 Windows)
- 版本 5.8.3 之前的 Zoom Rooms 控制器(适用于 Android、iOS 和 Windows)
值得一提的是,就在11月29日,Zoom为了简化桌面客户端的更新过程,宣布推出自动更新功能Windows和macOS,通过各自应用商店的内置自动更新程序,可以更新移动设备。
Zoom公司的隐私&安全技术产品经理表示,“对于个人用户,默认启动自动更新功能。如果您想关闭此功能,用户可以选择在首次安装或更新后退出桌面客户端的自动更新。”
此外,Zoom 用户还可以选择自己的更新频率:如果选择高频更新,最新的软件和功能将立即安装;如果选择低频更新,更新次数将直接减少,稳定性将最大化。
尽管此前该平台还为企业用户提供了自动更新,但此次更新“将目标受众扩展到所有个人用户,包括非企业组织成员”。