Zoom sửa lỗi zero-day RCE trên Windows 7

14/07/2020 22:07 GMT+7

Client của ứng dụng gọi điện Zoom trên máy tính Windows 7 đang chứa lỗ hổng zero-day có thể cho phép tin tặc thực thi các lệnh độc hại trên các hệ thống dễ bị tấn công từ xa.

Lỗ hổng giúp tin tặc có thể khai thác với điều kiện cần ít nhất một vài hoạt động của nạn nhân như tải xuống và mở tệp đính kèm độc hại, truy cập trang web độc hại, kết nối với máy chủ RDP độc hại. Tuy nhiên, không có thông báo bảo mật nào được kích hoạt trong quá trình bị khai thác.
Lỗ hổng này được một nhà nghiên cứu ẩn danh phát hiện và tìm đến nhóm 0patch để tiết lộ thay vì báo cáo trực tiếp với Zoom. Sau đó các nhà nghiên cứu bảo mật của nhóm 0patch đã phát hành miễn phí một bản vá có tên "micropatch" giúp người dùng có thể sửa lỗi bảo mật của lỗ hổng nói trên cho đến khi Zoom có thể tự phát hành.
Zoom đã phát hành một bản vá trong phiên bản mới nhất 5.1.3 (28656.0709) cho người dùng Windows vào ngày 10.7 và người dùng nên tải xuống phiên bản client mới nhất của ứng dụng. Ghi chú về thông tin phát hành bản cập nhật là khắc phục sự cố bảo mật ảnh hưởng đến người dùng chạy Windows 7 trở lên. Hiện lỗ hổng này được biết là có thể khai thác trên Windows 7 và các phiên bản trước đó, nhưng cũng có thể được khai thác trên Windows Server 2008 R2 và các phiên bản trở về trước.
Top

Bạn không thể gửi bình luận liên tục. Xin hãy đợi
60 giây nữa.