Zoom phát hành bản cập nhật vá hàng loạt lỗ hổng nguy cơ cao

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
93
600 bài viết
Zoom phát hành bản cập nhật vá hàng loạt lỗ hổng nguy cơ cao
Các chuyên gia đã phát hiện một loạt các lỗ hổng có rủi ro cao trong Zoom - phần mềm gọi video nổi tiếng của Zoom Video Communications.

Zoom.jpg

Các máy khách Windows của Zoom từ phiên bản 5.14.0 trở về trước đã được phát hiện tồn tại một lỗ hổng đáng lo ngại, có mã định danh là CVE-2023-34113. Lỗi bắt nguồn từ việc xác minh tính chính xác của dữ liệu không đầy đủ, có thể bị khai thác bởi người dùng đã xác thực dẫn đến leo thang đặc quyền thông qua truy cập mạng. Với điểm số CVSS là 8/10, lỗ hổng là một lỗi rủi ro cao, cần được xử lý ngay lập tức.

Các máy khách MacOS và Windows của Zoom cũng đang tồn tại một lỗ hổng khác. Được gán mã định danh CVE-2023-34114 (điểm CVSS là 8,3), lỗ hổng liên quan đến việc tiết lộ các tài nguyên tới một vùng không hợp lệ. Các phiên bản bị ảnh hưởng bao gồm các phiên bản 5.14.10 trở về trước cho cả máy khách Windows và MacOS.

Lỗ hổng tiếp theo, CVE-2023-34122 là lỗi xác thực đầu vào không chính xác trong trình cài đặt dành cho máy khách Windows của Zoom phiên bản 5.14.0 và cũ hơn. Người dùng được xác thực có thể khai thác lỗ hổng này, dẫn đến tăng đặc quyền thông qua quyền truy cập cục bộ, gây rủi ro an ninh cao. Lỗ hổng được đánh giá điểm CVSS là 7,3.

Trong hệ thống cấp bậc của các lỗ hổng, việc quản lý đặc quyền không phù hợp thường là một tội lỗi nghiêm trọng. Các máy khách Windows của Zoom, cũng như Zoom Rooms cho Windows và Zoom VDI cho máy khách Windows đang phải đối mặt với lỗi tương tự. Lỗ hổng CVE-2023-34120 (điểm CVSS là 8,7) có thể cung cấp cho người dùng được xác thực khả năng kích hoạt leo thang đặc quyền thông qua quyền truy cập cục bộ.

Ngoài ra, trình cài đặt ứng dụng khách VDI của Zoom, phiên bản 5.14.0 trở về trước cũng chứa lỗ hổng kiểm soát truy cập không phù hợp: CVE-2023-28598. Tin tặc có thể khai thác lỗ hổng này để xóa các tệp cục bộ mà không cần có quyền thích hợp. Lỗ hổng có điểm CVSS là 7,7.

Các máy khách Linux dành cho Zoom trước phiên bản 5.13.10, cũng đang tồn tại lỗ hổng chèn HTML. Nếu nạn nhân bắt đầu trò chuyện với kẻ tấn công, lỗ hổng này có thể khiến ứng dụng Zoom bị sập, do đó nó được đánh giá mức điểm CVSS là 7,5.

Người dùng có thể ngăn chặn các mối đe dọa đang rình rập bằng cách nhanh chóng áp dụng các bản cập nhật hoặc tải xuống phần mềm Zoom mới nhất có chứa tất cả các bản cập nhật bảo mật hiện tại từ trang web của hãng.

Nguồn: Security Online
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
cve-2023-28598 cve-2023-34113 cve-2023-34114 cve-2023-34120 cve-2023-34122 zoom video communications
Bên trên