Обнаружены новые уязвимости в Zoom

Иллюстрация статьи "Обнаружены новые уязвимости в Zoom"

9 августа 2020 года специалист по кибербезопасности Мазин Ахмед опубликовал своё исследование уязвимостей Zoom, которое он представил на конференции DEF CON 28. Часть обнаруженных проблем затронула клиент сервиса для Linux, а также процессы аутентификации пользователей и преобразования изображений. По словам автора исследования, новые уязвимости в Zoom уже известны разработчикам продукта и исправлены ими.

В своём посте Мазин Ахмед сообщает, что изучал безопасность сервиса с апреля 2020 года. Специалист сразу же попытался связаться с представителями Zoom, однако долгое время не получал ответа. Лишь после анонса о презентации его исследования в рамках конференции DEF CON 28 появилась обратная связь.

Часть выявленных проблем касается клиента сервиса видеосвязи для операционной системы Linux. К примеру, из-за особенностей работы сертификатов по протоколам TLS/SSL вредоносное ПО позволяет автоматически сохранять в локальную базу любые сертификаты серверов без их проверки. Также вредоносное ПО может быть запущено как обычный процесс в Zoom, а система безопасности сервиса даже не распознает его как угрозу. Наконец, переписка с помощью недавно добавленного в сервис end-to-end шифрования, как и пользовательские данные, хранится в базе виде обычного текста, что позволяет легко получить к ним доступ.

По словам исследователя, этим новые уязвимости в Zoom не ограничиваются. Некоторые проблемы с работой службы аутентификации Kerberos, во время атаки на которую была возможность перебирать номер пользователя и варианты его пароля неограниченное количество раз. Кроме того, Мазин Ахмед обратил внимание на обработку изображений, загружаемых в Zoom. Он считает, что сервис использует с этой целью на стороне сервера продукт ImageMagick, известный своими уязвимостями. С его помощью возможна кража памяти системы.

Напомним, ранее в блоге Cisco Talos публиковали информацию о двух других уязвимостях сервиса видеосвязи. Подробнее читайте в нашей рецензии на Zoom. Вы также можете скачать сервис на нашем сайте.

Вам также могут быть интересны эти статьи:

Появилась новая версия KeePass

Появилась новая версия KeePass

20 августа 2020 года состоялся релиз новой версии менеджера паролей KeePass (Кипас). Разработчики этого неофициального продукта исправили ошибки сервиса, а также добавили некоторые функции. Новая версия KeePass уже доступна для установки.Новшествами стали, в первую очередь, изменённый интерфейс генератора паролей и функция выбора значения для автозаполнения. Так, внешний вид сервиса преобразился, однако дополнительных возможностей для создания паролей не появилось. Однако пользователи Кипас смогут выбирать, что именно должно автоматически заполняться в браузере: имя пользователя или пароль. Такая возможность предусмотрена на случай последовательной авторизации на том или ином сайте.Данная неофициальная версия предназначена для двух операционных систем. Речь идёт о Linux и macOS. Напомним, что официальная версия менеджера паролей доступна исключительно для Windows.Помимо вышеперечисленного, сервис дополнился и другими возможностями. Например, новый тип метаданных, распознавание запуска экранной заставки в среде Xfce и пр. Также новая версия KeePass содержит обновлённую man-страницу.О том, для чего нужно использовать менеджер паролей, читайте в нашей статье. Плюсы и минусы KeePass вы узнаете в рецензии. Вы также можете скачать менеджер паролей на нашей сайте.

Комментарии 0
Читать
Whatsapp поможет очистить память устройства

Whatsapp поможет очистить память устройства

23 августа 2020 года появилась информация о новой функции в Whatsapp. Речь идёт о файловом менеджере, позволяющем контролировать объём мультимедийных вложений. С его помощью очистить память устройства, на котором установлен мессенджер, будет проще.Необходимость такой функции обусловлена тем, что файлы из Whatsapp хранятся в памяти девайса пользователя. При наличии большого количества мультимедиа их приходится удалять вручную, чтобы освободить место. Эту проблему и должен решить раздел "Использование хранилища".Согласно инсайдерской информации, наглядными станут следующие данные. Появится шкала, отражающая соотношение объёма, занимаемого мессенджером, и оставшегося места. Кроме того, менеджер будет формировать список файлов, которые можно удалить, чтобы очистить память устройства. В их число войдут два типа мультимедиа: отправленные и крупные. Наконец, пользователям будет доступен список чатов в порядке убывания занимаемой им памяти.Такая функция была анонсирована ещё два месяца назад, однако с тех пор её прототип претерпел значительные изменения. В данный момент ожидается её запуск для устройств на базе Android. Сообщается, что пользователи iOS смогут воспользоваться файловым менеджером позже.Напомним, ранее анонсировали синхронизацию данных мессенджера для 4 устройств, функцию поиска в интернете, поиска по QR-коду, а также увеличение количества участников видеозвонков. Плюсы и минусы Whatsapp вы узнаете в нашей рецензии. Вы также можете скачать мессенджер на нашем сайте.

Комментарии 0
Читать
Уязвимость в Google Диск могут использовать для фишинга

Уязвимость в Google Диск могут использовать для фишинга

24 августа 2020 года в блоге SecurityLab описали уязвимость в Google Диск, которую злоумышленники могут использовать для фишинговых атак. Проблему обнаружили в функции "Управление версиями", позволяющей загружать новые версии файлов. Специалисты полагают, что таким образом их могут подменить вредоносными файлами."Теоретически, функциональность «Управление версиями» должна предоставлять пользователям возможность обновить старый файл новой версией, имеющей то же расширение, но, как выяснил специалист А. Никоси (A. Nikoci), в действительности, сервис позволяет загружать новую версию хранящегося в облаке файла с любым расширением. Таким образом, злоумышленник может подменить любой файл вредоносным вариантом, причем при предпросмотре он будет казаться совершенно безобидным", - сообщается в блоге.По данным источника, уязвимость в Google Диск уже известна Google, однако компания не предприняла мер по её устранению. Так, в облачном сервисе по-прежнему есть возможность замены версии файла без фактической проверки его типа и расширения.Напомним, ранее компания интегрировала Google Docs и Google Meet в Gmail. Плюсы и минусы Google Диск вы узнаете в нашем обзоре. Вы также можете скачать облачное хранилище на нашем сайте.

Комментарии 0
Читать
guest
0 Комментарий
Inline Feedbacks
View all comments