Talos Intelligence發現Zoom兩項安全漏洞,其中的CVE-2020-6109為路徑穿越(path traversal)漏洞,出在Zoom用戶端處理包含GIF圖檔的訊息過程中。(示意圖,圖片來源:https://zoom.us/docs/ent/media-assets/pdf/Zoom-Chat-Product-Overview.pdf)

思科安全研究團隊Talos Intelligence發現Zoom兩項安全漏洞,可能導致攻擊者在受害電腦上執行任意程式碼,或者結合其他漏洞。在思科團隊的通知下,Zoom已經完成修補。

Zoom的通話功能是跑在XMPP標準上,並以其他擴充功能增加訊息豐富度,而二項漏洞都是和擴充功能有關,一是支援包含GIF動畫檔,二是支援包含程式碼片段。

第一項漏洞CVE-2020-6109為一項路徑穿越(path traversal)漏洞,出在Zoom用戶端處理包含GIF圖檔的訊息過程中。Zoom原本允許使用來自Giphy(現為臉書買下)伺服器的動畫圖檔,為訊息加入效果,但在本漏洞中,卻讓Zoom接收任何伺服器的圖檔。這讓駭客對單一用戶或目標群組傳送惡意訊息觸發漏洞,造成任意檔寫入而引發任意程式碼執行,結果為洩露資訊。

在CVE-2020-6109中,攻擊者傳送的檔案可以.gif為副檔名,但內容可能是執行檔或腳本程式,協助開採其他漏洞。CVE-2020-6109 CVSS 3.0風險評分為8.5。

另一個漏洞編號CVE-2020-6110,則發生在Zoom用戶端處理有共享程式碼片段(code snippet)的訊息的過程中。Zoom分享程式碼片段時會是以壓縮檔ZIP進行。不同於普通ZIP檔,CVE-2020-6110下,ZIP接到的ZIP檔若為共享程式碼片段,會自動解壓縮以便預覽,而未驗證ZIP檔的內容檔案。這使得攻擊者得以植入任意二進位檔,而在目標電腦上執行。而路徑穿越問題,讓這個ZIP檔可以在原本應有的目錄以外寫入檔案,進而開採其他漏洞,但研究人員指出,後者攻擊需要使用者有動作。CVE-2020-6110 CVSS 3.0風險評分為8.0。

兩項漏洞都影響Zoom 用戶端4.6.10,而CVE-2020-6110還另外影響4.6.11版,包括Windows、macOS及Linux版本。CVE-2020-6109 CVSS 3.0風險評分為8.5,而在Talos Intelligence通報後,Zoom已經釋出新版4.6.12版予以解決。


Advertisement

更多 iThome相關內容