Google揭露Zoom Meetings桌機、手機版軟體有程式碼執行漏洞

Zoom 上周修補會議產品2項漏洞，包括1個高風險的程式碼執行漏洞，影響Zoom桌機、手機版會議軟體Client for Meetings及其他產品。

這兩個漏洞是由Google安全研究小組Project Zero研究人員Natalie Silvanovich通報。其中CVE-2021-34424為一高風險的緩衝溢位漏洞，CVSS 3.1風險值7.3，攻擊者可能導致應用程式或服務當掉，或是利用該漏洞執行任意程式碼。

CVE-2021-34423屬於中度風險的記憶體洩露漏洞，可能導致用戶端行程記憶體狀態曝露，導致攻擊者得以讀取Zoom應用程式記憶體的任意區塊。

同時受到這2項漏洞影響的產品，包括許多人在家工作或是和友人聯繫常用的Zoom Client for Meetings 5.8.4以前的版本，涵括Windows、macOS、Linux、Android及iOS版。較小平臺版本也受影響，包括Zoom Client for Meetings for Chrome OS 5.0.1版本以前。其他還包括Zoom Rooms for Conference Room（Windows、macOS、Linux、Android及iOS版）、Zoom Meeting SDK for Android,iOS,Windows及macOS、Controllers for Zoom Rooms (for Android, iOS, and Windows)、Zoom VDI、本地部署版Zoom On-Premise Meetings Connector、Zoom On-Premise Virtual Room Connector及Zoom On-Premise Recording Connector等。

Zoom已經針對受影響的產品釋出更新版，包括Zoom Client for Meetings 5.8.4、Zoom Rooms for Conference Room 5.8.3等。