谷歌详述 Zoom 客户端和MMR 服务器中的两个0day
编译:代码卫士
Silvanovich在去年发现并报告了这两个0day,他表示漏洞同时影响 Zoom 客户端和多媒体路由器 (MMR) 服务器。MMR 服务器负责在本地部署中的客户端之间传输视频和音频内容。
Zoom 公司已经在2021年11月24日的安全更新中解决了这两个漏洞。
零点击攻击的目标是在无需任何用户交互如点击链接的情况下,偷偷控制受害者的设备。
虽然两个漏洞的利用方式因其性质不同而不同,但零点击攻击的一个重要特征是,不留下任何恶意活动痕迹,从而非常难以被发现。
这两个已修复的0day 漏洞是:
CVE-2021-34423(CVSS 评分9.8):缓冲区溢出漏洞,可被用于服务或应用程序,或执行任意代码。
CVE-2021-34424(CVSS评分7.5):进程内存暴露缺陷,可被用于查看产品内存的任意区域。
Silvanovich 分析通过IP网络交付音频和视频的RTP(实时传输协议)流量时发现,很可能发送畸形聊天信息,操纵支持读取不同数据类型的缓冲区内容,从而导致客户端和MMR服务器崩溃。
此外,缺乏NULL 检查使得攻击者可以通过web 浏览器加入 Zoom 会议,泄露内存数据。
Silvanovich 认为内存损坏缺陷存在的原因在于Zoom 未能启用ASLR。他指出,“Zoom MMR 流程中缺少 ASLR 大大增加了攻陷风险。毫无疑问,ASLR 时阻止内存损坏利用的最重要缓解措施,多数其它缓解措施都依赖于它才能起作用。大多数软件没有理由将其禁用。”
多数视频会议系统使用开源库如 WebRTC 或 PJSIP 执行多媒体通信, Project Zero 团队认为Zoom 使用专有模式和协议及其高昂的许可费用(近1500美元)是开展安全研究的阻碍因素。
他还表示,“闭源软件带来独特的安全挑战,Zoom 可以做得更多,便于安全研究员和其他想要评估平台的人访问平台。虽然 Zoom 安全团队帮助我访问并配置服务器软件,但尚不清楚其他安全研究员是否也获得了这些协助,该软件的许可仍然非常昂贵。”
网红视频会议应用 Zoom 被指“像吸血鬼一样靠收割个人数据敛财”
Zoom 视频会议 app 被曝严重漏洞,75万家企业或受影响
https://thehackernews.com/2022/01/google-details-two-zero-day-bugs.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。