Zoom危险? 又爆其Windows客户端存在零日漏洞!
文章来源:E安全
近日据外媒报道,网络安全公司ACROS Security 于博客文章中在线披露Zoom的Windows客户端中存在零日漏洞。随后Zoom发表声明称,他们正在致力于修补Windows客户端中披露的零日漏洞。
据悉,该安全公司表示,零时差会影响Zoom的Windows客户端安全性,但是该漏洞仅当客户在旧的Windows OS版本(例如Windows 7和Windows Server 2008 R2或更早版本)上运行时才受影响。
据ACROS安全首席执行官Mitja Kolsek称,该漏洞使远程攻击者可以通过使用户执行一些典型操作,例如打开文档文件,随后在安装了Windows Zoom Client的受害者计算机上执行任意代码。在整个攻击过程中,系统不会向用户显示安全警告。同时,Kolsek还表示,ACROS研究团队本身并未发现该漏洞,而是从一位安全研究人员那里收到了此消息,该研究人员希望将其身份保密。
随后,ACROS早些时候向Zoom报告了零时差,并发布了其0patch客户端的更新,以防止该漏洞对ACROS客户的攻击,此次更新会持续到Zoom发布正式修复程序为止。
据悉,ACROS没有发布有关零日漏洞的任何技术细节,但是外媒从Zoom发言人那里收到的声明中证实了该漏洞报告的准确性。Zoom表示他们认真对待所有有关潜在安全漏洞的报告,此次漏洞问题影响到运行Windows 7及更低版本的Windows的用户,目前正在开发一个补丁程序以快速解决此问题。但是,由于无法开发出全面的修复程序,Zoom发言人无法承诺何时提供修复程序。
根据了解,在4月1日发现并公开了Zoom服务的几个安全问题之后,Zoom公司暂停了所有新功能的开发,仅专注于与安全和隐私相关的系统改进和漏洞修复。根据报道,Zoom公司专注于提高应用程序安全性的这段功能冻结期于上周,也就是7月1日结束。
在功能冻结期间,Zoom还聘请Luta Security帮助该公司建立了一个专业的漏洞赏金计划。同时,在几天前,Zoom还聘用了Jason Lee成为新首席信息安全官(CISO),他曾担任Salesforce安全运营高级副总裁,Zoom近期也将会持续致力于安全性的提高,对用户负责。
推荐文章++++