新的缩放屏幕共享漏洞允许其他用户访问受限制的应用程序

根据最新发现，Zoom屏幕共享功能中新发现的一个小故障可能会在通话中意外地将敏感信息泄露给其他与会者。

这一未修补的安全漏洞被追踪为CVE-2021-28133，使其有可能泄露未共享但只是短暂的应用程序内容，从而使其更难在野外利用。

值得指出的是，Zoom中的屏幕共享功能允许用户共享整个桌面或手机屏幕，或将共享限制在一个或多个特定应用程序或屏幕的一部分。这个问题源于这样一个事实：覆盖在已经共享的应用程序之上的第二个应用程序可以在短时间内显示其内容。

SySS研究人员迈克尔·斯特拉梅茨（Michael Strametz）和马蒂亚斯·迪格（Matthias Deeg）指出：“当Zoom用户通过‘共享屏幕’功能共享特定的应用程序窗口时，其他与会者可以短暂地看到其他未被显式共享的应用程序窗口的内容。”。“例如，当非共享应用程序窗口覆盖共享应用程序窗口并进入焦点时，其他用户可以在短时间内看到这些窗口的内容。”

该漏洞在Windows和Linux客户端的5.4.3和5.5.4版本上进行了测试，据称已于2020年12月2日向视频会议公司披露。即使在三个月后也无法修复，部分原因可能是难以利用该漏洞。

不过，研究人员警告称，这可能会产生严重后果，这取决于无意中共享的数据的性质。通过使用屏幕捕获工具记录会议并回放记录以查看私人信息，Zoom会议的恶意参与者可以利用这一弱点。

Zoom发言人表示，他们正在努力解决这个问题。“Zoom认真对待所有关于安全漏洞的报告，”该公司通过电子邮件告诉《黑客新闻》。“我们意识到这个问题，并正在努力解决它。”