官方承認並表示正致力緩解問題。
過去一年多新冠肺炎疫情肆虐全球,世界各地不少公司安排員工留家工作,視像會議軟件Zoom的下載量和使用量大增。但近期由Zero Day Initiative ( ZDI)主辦的白帽駭客競賽Pwn2Own中,研究人員揭露Zoom漏洞,該漏洞可讓攻擊者在無需用戶任何動作下,遠端執行程式碼(RCE)。
設計圖片
憑此發現而贏得20萬美元獎金的Computest研究人員Daan Keuper及Thijs Alkemade展示串聯Zoom三項漏洞即可執行任意程式,過程中無需受害者互動,只要啟動Zoom視像即受害。ZDI於上周五(4月8日)證實後公布這項發現,但由於Zoom尚未完成修補,漏洞及攻擊細節皆未揭露。
Confirmed! The duo of Daan Keuper and Thijs Alkemade from Computest used a 3-bug chain to exploit #Zoom messenger with 0 clicks from the target. They win $200,000 and 20 points towards Master of Pwn. #Pwn2Own pic.twitter.com/dLFpH1uq8G
— Zero Day Initiative (@thezdi) April 7, 2021
Zoom的聲明則透露,至少一個漏洞出在群組通訊產品Zoom Chat上。Zoom同時表示正致力於緩解該問題,但強調Zoom Meeting及Zoom Video Webinar會議不受該問題影響。此外,攻擊必須從受害者接收的外部聯絡人發動,或是必需與受害者同屬一個公司帳號。
資料圖片
資料圖片
Zoom建議所有用戶只接受熟悉的個人發出的通話請求。
根據安全軟件MalwareByte指出,目前僅知這項攻擊手法可在Windows及Mac版軟件執行,但不影響瀏覽器版。至於Android及iOS版是否也受影響則仍未知,因為研究人員並未研究到這兩個版本。
資料圖片