研究人员在DEF CON 28上演示了几个Zoom漏洞

广受欢迎的视频会议应用Zoom解决了几个安全漏洞，其中两个漏洞影响其Linux客户端，该漏洞可能允许访问受损系统的攻击者读取和过滤Zoom用户数据—；甚至可以将秘密恶意软件作为可信应用程序的子进程运行。

网络安全研究人员马津·艾哈迈德（Mazin Ahmed）昨日在DEF CON 2020上展示了他的研究结果。他表示，该公司还暴露了一个配置错误的开发实例，该实例自2019年9月以来一直没有更新，这表明服务器可能容易出现未修补的缺陷。

After Ahmed privately reported the issues to Zoom in April and subsequently in July, the company issued a fix on August 3 (version 5.2.4).

值得注意的是，要发生其中一些攻击，攻击者需要已经通过其他方式破坏了受害者的设备。但这并没有消除缺陷的重要性。


在一个场景中，艾哈迈德发现了Zoom Launcher for Linux的一个问题，由于其启动“Zoom”可执行文件的方式，该问题可能允许对手运行未经授权的软件。

艾哈迈德在分析中说：“这破坏了对应用程序白名单的所有保护，允许恶意软件作为可信供应商（Zoom）的子进程运行，而且无论如何都是一种糟糕的设计/安全做法。”。


还不止这些。类似地，通过导航到本地数据库，甚至访问以明文格式存储在系统上的聊天信息，可以访问受害者机器的攻击者可以读取和过滤Zoom用户数据和配置。

另外两个缺陷涉及外部可访问的Kerberos身份验证服务（“ca01.idm.meetzoom.us”）和TLS/SSL问题，该问题允许恶意软件将自定义证书指纹注入本地Zoom数据库。

Zoom在谈到证书注入漏洞时说：“这是每个用户的证书固定，有意允许用户允许自定义证书。”。“用户可以写入自己的数据库，但其他非root用户无法写入。让用户应用程序以其权限级别运行是常见的最佳做法，因为要求Zoom以root身份运行会给Zoom和我们的客户带来不必要的安全风险。”

但它变得更有趣了。Ahmed接着强调了一个内存泄漏漏洞，利用Zoom上的profile picture功能上传恶意GIF图像，下载渲染文件，并从中提取数据以泄漏部分系统内存。


该公司表示：“经过内部调查，我们得出结论，该行为不是内存泄漏，而是我们的图像工具在将格式错误的gif转换为jpeg时所做的最大努力。”。

虽然艾哈迈德认为这是ImageMagick图像转换软件（CVE-2017-15277）中已知缺陷的结果，但Zoom表示，它不使用该实用程序将作为个人资料图片上传的GIF转换为JPEG格式。


作为对披露的回应，Zoom已经关闭了公开的Kerberos身份验证服务器，以防止暴力攻击，同时也承认它正在努力解决存储聊天日志时缺乏加密的问题。

建议用户将Zoom更新至最新版本，以减轻这些问题带来的任何风险。

“我们感谢Mazin报告他的发现。我们已经修复了所有相关问题，并建议用户保持Zoom客户端的最新状态，以确保他们收到持续的安全和产品更新。Zoom感谢研究人员提供的漏洞报告。如果您认为您发现Zoom产品存在安全问题，请发送详细报告到security@zoom.us该公司的一名发言人告诉《黑客新闻》。

上个月，该公司解决了一个安全漏洞。它允许攻击者破解用于保护平台上私人会议和窃听参与者的数字密码。