3 июня 2020 года в блоге по кибербезопасности Cisco Talos сообщили о проблемах, обнаруженных в популярном сервисе Zoom. Все они касались клиента с версией 4.6.10. Согласно информации в блоге, уязвимости в Zoom могли привести к внедрению вредоносного кода в систему пользователя.
Первая проблема связана со сторонним сервисом Giphy, который позволял обмениваться изображениями формата GIF в чате. Выяснилось, что в Zoom отсутствовала проверка источника загружаемых файлов. Это позволяло злоумышленникам отправлять в чаты файлы со стороннего сервера, не принадлежащего Giphy. Такие файлы сохранялись наравне со всеми остальными папке пользователя, которая располагалась в его операционной системе.
Вторая проблема возникла из-за особенности обработки кода, передаваемого в чате. Данная функция Zoom позволяла обмениваться сниппетами кода. При передаче код архивируется, а затем распаковывается в системе получателя. Однако сервис не проверял содержимое архива, из-за чего вредоносный код мог попасть на устройство пользователя.
Согласно информации в блоге, представители Zoom уже исправили первую уязвимость и частично устранили вторую. Речь идёт о том, что вторая проблема была устранена только на стороне сервера, тогда как специалисты Cisco Talos считают, что решить её следует также на стороне клиента. В противном случае угроза безопасности сохраняется.
Напомним, что на сегодняшний день Zoom является одним из самых популярных в мире сервисов видеосвязи. Подробности вы можете узнать в нашем обзоре на Zoom. Вы также можете скачать сервис на нашем сайте.