Группа исследователей безопасности Computest Security выявила несколько уязвимостей нулевого дня в Zoom на состязании Pwn2Own 2021 по взлому популярного программного обеспечения. Они позволяли хакерам получить управление над компьютером, даже если жертва не совершала каких-либо действий.
We're still confirming the details of the #Zoom exploit with Daan and Thijs, but here's a better gif of the bug in action. #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW
— Zero Day Initiative (@thezdi) April 7, 2021
Zoom подтвердил изданию Gizmodo, что в пятницу 9 апреля он выпустил обновление для устранения уязвимостей. Пользователям не нужно предпринимать каких-либо дополнительных действий. Также компания отметила, что ей не известно ни о каких инцидентах, когда злоумышленники использовали найденные уязвимости.
Информации о них в открытый доступ выложено мало. Исследователи использовали цепочку из трех ошибок в программном коде десктопного приложения. Согласно данным MalwareBytes Labs, атака должна исходить от пользователя, от которого вы принимаете вызов.
