Разработчики Zoom выпустили исправления для двух багов, которые затрагивали версии приложения для Windows, macOS, Linux, iOS и Android. Уязвимости обнаружил специалисты команды Google Project Zero.
Исследовательница Google Project Zero Натали Сильванович пишет, что уязвимости влияют на основной клиент Zoom для конференций и актуальны для всех основных платформ. Эксплуатация багов можно привести к атакам, связанным с выполнением кода.
Наиболее серьезной из двух проблем является CVE-2021-34423, которая затрагивает широкий спектр компонентов и SDK. Ошибка описывается как переполнение буфера и набрала 7,3 балла по шкале оценки уязвимостей CVSS.
«Эта уязвимость потенциально позволяет злоумышленнику спровоцировать сбой службы или приложения, а затем использовать это для выполнения произвольного кода», — пишут разработчики.
Вторая уязвимость, CVE-2021-34424, приводит к повреждению информации в памяти и позволяет узнать состояние памяти процесса для нескольких продуктов и компонентов. По словам создателей Zoom, этот баг может быть использован для получения представления о произвольных областях памяти.
Полный список затронутых версий Zoom выглядит следующим образом:
- клиент Zoom для конференций (для Android, iOS, Linux, macOS и Windows) до версии 5.8.4;
- клиент Zoom для конференций для Blackberry (для Android и iOS) до версии 5.8.1;
- клиент Zoom для конференций для intune (для Android и iOS) до версии 5.8.4;
- клиент Zoom для конференций для Chrome OS до версии 5.0.1;
- Zoom Rooms для конференц-зала (для Android, AndroidBali, macOS и Windows) до версии 5.8.3;
- Контроллеры для Zoom Rooms (для Android, iOS и Windows) до версии 5.8.3;
- Zoom VDI до версии 5.8.4;
- SDK Zoom Meeting для Android до версии 5.7.6.1922;
- SDK Zoom Meeting для iOS до версии 5.7.6.1082;
- SDK Zoom Meeting для macOS до версии 5.7.6.1340;
- SDK Zoom Meeting для Windows до версии 5.7.6.1081;
- Zoom Video SDK (для Android, iOS, macOS и Windows) до версии 1.1.2;
- Zoom On-Premise Meeting Connector Controller до версии 4.8.12.20211115;
- MMR Zoom On-Premise Meeting Connector до версии 4.8.12.20211115;
- Zoom On-Premise Recording Connector до версии 5.1.0.65.20211116;
- Zoom On-Premise Virtual Room Connector до версии 4.4.7266.20211117;
- Zoom On-Premise Virtual Room Connector Load Balancer до версии 2.5.5692.20211117;
- Zoom Hybrid Zproxy до версии 1.0.1058.20211116;
- Zoom Hybrid MMR до версии 4.6.20211116.131_x86-64.
Также нужно отметить, что в этом месяце команда Zoom наконец-то добавила в приложение механизм автоматического обновления (в десктопную версию для Windows и macOS, Linux пока не поддерживается), так что теперь пользователи смогут своевременно получать патчи.
Источник: xakep