最新的Zoom漏洞列表已經(jīng)出來(lái)了，其中幾個(gè)漏洞的嚴(yán)重程度非常高。此次發(fā)布的補(bǔ)丁針對(duì)六個(gè)漏洞。

這些漏洞幾乎影響了所有的Windows客戶端，而有兩個(gè)是在MacOS平臺(tái)發(fā)現(xiàn)的。它們的嚴(yán)重程度各不相同，有可能被攻擊者利用，以獲得未經(jīng)授權(quán)的訪問(wèn)、提升權(quán)限或破壞數(shù)據(jù)完整性。

Zoom漏洞： 高嚴(yán)重性

CVE-2023-34113 (CVSS 8) 數(shù)據(jù)真實(shí)性驗(yàn)證不充分： 該漏洞被評(píng)為高危，影響到5.14.0版本之前的Zoom Windows版本。

它涉及對(duì)數(shù)據(jù)真實(shí)性的驗(yàn)證不足，使有網(wǎng)絡(luò)訪問(wèn)權(quán)的認(rèn)證用戶有可能提升權(quán)限。通過(guò)利用這一漏洞，攻擊者可以操縱數(shù)據(jù)，對(duì)系統(tǒng)的完整性構(gòu)成重大威脅。

CVE-2023-34114 (CVSS 8.3) 將資源暴露在錯(cuò)誤的領(lǐng)域： 這個(gè)高危漏洞分別影響到5.14.10和5.14.0版本之前的Windows和 MacOS版本。

具有網(wǎng)絡(luò)訪問(wèn)權(quán)限的認(rèn)證用戶有可能利用此漏洞實(shí)現(xiàn)信息泄露。該漏洞將信息暴露于錯(cuò)誤的領(lǐng)域，這可能導(dǎo)致對(duì)敏感信息的未授權(quán)訪問(wèn)。

CVE-2023-28603 (CVSS 7.7) Zoom VDI 客戶端安裝程序中不當(dāng)?shù)脑L問(wèn)控制： 版本5.14.0之前的Zoom VDI客戶端安裝程序包含一個(gè)高嚴(yán)重性漏洞。

利用這一漏洞，惡意用戶可能會(huì)在沒(méi)有權(quán)限的情況下刪除本地文件。這個(gè)漏洞損害了系統(tǒng)的完整性，也強(qiáng)調(diào)了的訪問(wèn)控制的必要性。

Zoom漏洞： 中等嚴(yán)重性

CVE-2023-28600 (CVSS 6.6) ，Zoom 客戶端中不當(dāng)?shù)脑L問(wèn)控制： 該漏洞被評(píng)為中等嚴(yán)重程度的漏洞，該漏洞影響到MacOS客戶端5.14.0版本之前的Zoom。

它涉及不當(dāng)?shù)脑L問(wèn)控制，可能允許惡意用戶刪除或替換Zoom客戶端文件。利用該漏洞可能導(dǎo)致Zoom客戶端的完整性和可用性喪失。

Zoom 漏洞： 低嚴(yán)重性

CVE-2023-28601 (CVSS 8.3) ，在Zoom客戶端中對(duì)內(nèi)存緩沖區(qū)范圍內(nèi)的操作進(jìn)行不當(dāng)?shù)南拗疲?這個(gè)低嚴(yán)重性的漏洞影響到5.14.0版本之前的Zoom Windows版。

它涉及對(duì)內(nèi)存緩沖區(qū)范圍內(nèi)操作的不當(dāng)限制，可能導(dǎo)致Zoom客戶端內(nèi)的完整性問(wèn)題。雖然嚴(yán)重程度較低，但它仍然對(duì)受影響的系統(tǒng)構(gòu)成風(fēng)險(xiǎn)。

CVE-2023-28602 (CVSS 2.8) ，在Zoom客戶端中對(duì)加密簽名的驗(yàn)證不當(dāng)： 該漏洞也被評(píng)為低嚴(yán)重性，它影響到5.13.5版本之前的Zoom Windows版。

它與加密簽名的不當(dāng)驗(yàn)證有關(guān)，使惡意用戶有可能對(duì)Zoom客戶端組件進(jìn)行降級(jí)。雖然嚴(yán)重程度相對(duì)較低，但它強(qiáng)調(diào)了維護(hù)加密操作完整性的重要性。

Zoom已經(jīng)確認(rèn)了這些漏洞，并發(fā)布了補(bǔ)丁和更新來(lái)解決這些漏洞。同時(shí)強(qiáng)烈建議用戶將Zoom軟件更新到最新版本，以保護(hù)自己避免潛在威脅。

被“盯上”的 Zoom

自從新冠病毒大流行和全球封鎖之后，Zoom的受歡迎程度激增，同時(shí)Zoom也成為了攻擊者的目標(biāo)。

Cyble研究與情報(bào)實(shí)驗(yàn)室（CRIL）的研究人員最近發(fā)現(xiàn)了針對(duì)Zoom用戶的惡意軟件活動(dòng)，攻擊者利用Zoom應(yīng)用程序的修訂版本部署網(wǎng)絡(luò)釣魚攻擊來(lái)傳遞IcedID惡意軟件。

攻擊者還被發(fā)現(xiàn)通過(guò)流行的商業(yè)連接軟件（包括Zoom、Cisco AnyConnect和Citrix Workspace）的木馬安裝程序分發(fā)Bumblebee惡意軟件。

Zoom在商業(yè)通信中的廣泛應(yīng)用也促使詐騙者發(fā)起復(fù)制活動(dòng)。

最近報(bào)道了許多欺詐性網(wǎng)站試圖冒充Zoom，使受害者的設(shè)備感染惡意軟件。

在這種情況下，Zoom主頁(yè)被一個(gè)新的惡意詐騙活動(dòng)所模仿，它使用相同的設(shè)計(jì)、用戶體驗(yàn)和交互按鈕來(lái)誘使人們下載該應(yīng)用程序。

只要用戶安裝了看似是Zoom應(yīng)用程序的軟件包，Vidar Stealer惡意軟件就會(huì)被下載到系統(tǒng)中，一旦打開(kāi)，它就立即開(kāi)始在系統(tǒng)中傳播。

參考鏈接：https://thecyberexpress.com/zoom-vulnerabilities-windows-macos-patched/