В апреле и мае 2020 года специалисты из команды по информационной безопасности Cisco Talos обнаружили в Zoom две критические уязвимости. Злоумышленник мог использовать каждую из этих ошибок в приложении сервиса и получить удаленный доступ к компьютеру, пользователь которого принимал участие в групповом звонке. После получения всей необходимой информации от экспертов Cisco Talos компания Zoom внесла исправления в серверную часть сервиса, также была изменена пользовательская часть. В настоящее время разработчик сервиса видеоконференций устранил эти уязвимости в новой версии Zoom 4.6.12. Пользователям рекомендуется обновить свой клиент, так как уязвимостям подвержен Zoom Client for Windows версий 4.6.11 и 4.6.10.
Первая найденная Cisco Talos уязвимость — CVE-2020-6109 (опасность средняя, CVSSv3 рейтинг 8.5). В серверной части Zoom используется сторонний сервис Giphy, с помощью которого пользователи могут искать и обмениваться в чате видеоконференции анимированными GIF-изображениями. Оказалось, что Zoom не проверяет корректность загрузки GIF на ПК пользователя, всегда считая, что они не скомпрометированы и поступают с серверов Giphy. Однако, злоумышленник может встраивать свой код в передаваемые им сообщения, содержащие GIF и выполнить обход каталога в Zoom Client application. Полное описание этой уязвимости доступно на портале Cisco Talos.
Вторая найденная Cisco Talos уязвимость — CVE-2020-6110 (опасность средняя, CVSSv3 рейтинг 8.5). Она также позволяет злоумышленнику выполнить обход каталога в Zoom Client application и связана с чатом Zoom, который выполнен разработчиками на основе классического XMPP с дополнительными расширениями для поддержки расширенного взаимодействия с пользователем. Таким образом, в чате Zoom можно выполнить вставку сниппетов с вредоносным кодом, который передается клиенту Zoom в форме ZIP-архива. Далее этот архив распаковывается на ПК жертвы, причем в ходе этого процесса нет проверки на наличие внутри архива вредоносного кода. Это позволяет злоумышленнику осуществить передачу и установку двоичного (бинарного) файла на атакуемый им компьютер. Полное описание этой уязвимости доступно на портале Cisco Talos.
Ранее в конце апреля стало известно, что уязвимости сервиса видеоконференций Zoom были давно известны компаниям, которые сотрудничали с платформой. Например, Dropbox даже платила хакерам, чтобы найти ошибки в программном обеспечении компании, а затем надавила на Zoom, чтобы те исправили их.
