Новости 9.8 из 10. Критическая уязвимость в Zoom позволяет перехватить управление вашей учетной записью

NewsMaker

I'm just a script
Премиум
28,386
46
8 Ноя 2022
Потенциальной жертве даже не нужно переходить по подозрительным ссылкам.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:1200/675;margin-bottom:2rem;overflow:hidden">
6amdufr7a4173p4axtxf6tc11wr18mb7.jpg

<div itemprop="articleBody">Приложения для видеосвязи постоянно обмениваются данными через сеть, поэтому ошибка в обработке входящего трафика может затронуть учётную запись даже без действий владельца. Zoom выпустила срочные обновления для Windows, закрывающие критическую уязвимость с оценкой 9.8 балла из 10 по шкале CVSS 3.1.

Проблема под идентификатором CVE-2026-53412 затрагивает Zoom Desktop Client и Zoom VDI для Windows. Ранее в список уязвимых продуктов также входил Meeting SDK для Windows, однако Zoom позднее исключила комплект разработки из предупреждения. Клиенты для macOS, Linux, iOS и Android уязвимости не подвержены.

Ошибка связана с недостаточной проверкой данных, которые приложение получает по сети. Злоумышленник без учётной записи и каких-либо прав может отправить специально сформированные данные и захватить аккаунт. Атака не требует нажатия на ссылку, подключения файла или другого участия пользователя, а сложность эксплуатации Zoom оценила как низкую.

Захваченная учётная запись может открыть доступ к встречам, чатам, записям и данным профиля. Злоумышленник также сможет выдавать себя за владельца аккаунта. Zoom не раскрыла технические подробности и не сообщила о случаях эксплуатации уязвимости в реальных атаках.

Проблему обнаружила внутренняя команда Zoom Offensive Security. Вместе с критической ошибкой компания исправила ещё три серьёзные уязвимости в продуктах для Windows, включая ошибки управления привилегиями и обработки входных данных.

Пользователям Zoom на Windows рекомендуют установить последние версии Zoom Desktop Client и Zoom VDI . Обновление следует получить через встроенный механизм приложения или официальный сайт Zoom.
 
Источник новости
www.securitylab.ru

Похожие темы