Zoom 近日發布更新以解決產品的安全性弱點

風險等級: 高度威脅
要: Zoom 近日發布更新以解決產品的安全性弱點。
影響系統:
  • Zoom 4.6.11 (含)之前版本
解決辦法: 請參考 Zoom 官網並依建議方式處理

細節描述:

Zoom 近日發布更新,以解決產品的安全性弱點。

編號 CVE-2020-6109 的弱點為發生在 Zoom 處理 GIF圖像時發生的錯誤;攻擊者可傳送一個特製的訊息到欲攻擊的線上會議用戶或群組,並以該用戶當時擁有的權限範圍內,在任意目錄中寫入一個檔案。
攻擊者可以傳送一個以 GIF 副檔名結尾的檔案,但檔案內容實際上是一段可執行的指令碼或script;攻擊者就可以利用這段偽裝的程式碼來進行駭客攻擊。

編號 CVE-2020-6110的弱點則和檔案處理的錯誤有關。攻擊者可以發送一段特製訊息給會議室中的個人或群組,並利用這個弱點在部分特定目錄中寫入一個自我解壓縮的 zip檔,以執行其他駭客攻擊活動。

參考資訊:

TWCERT/CC (2020/06/09)
Securityweek (2020/06/04)
Cisco (2020/06/03)