谷歌详细介绍了Zoom客户端和MMR服务器上报告的两个零日漏洞

对流行的视频会议解决方案Zoom的零点击攻击表面进行了探索，发现了两个以前未公开的安全漏洞，这些漏洞可能被用来破坏服务、执行恶意代码，甚至泄露其任意内存区域。

谷歌零号项目的娜塔莉·西尔瓦诺维奇（Natalie Silvanovich）去年发现并报告了这两个缺陷。她说，这些问题影响了Zoom客户端和多媒体路由器（MMR）服务器，后者在内部部署中在客户端之间传输音频和视频内容。

The weaknesses have since been addressed by Zoom as part of updates shipped on November 24, 2021.

零点击攻击的目标是在不需要用户进行任何交互（如点击链接）的情况下，悄悄地控制受害者的设备。

虽然攻击的具体情况会因被攻击漏洞的性质而有所不同，但零点击攻击的一个关键特征是它们不留下恶意活动痕迹的能力，这使得它们很难被检测到。

The two flaws identified by Project Zero are as follows —

• CVE-2021-34423（CVSS得分：9.8）和#8211；缓冲区溢出漏洞，可用于使服务或应用程序崩溃，或执行任意代码。
• CVE-2021-34424（CVSS得分：7.5）和#8211；一个进程内存暴露缺陷，可用于深入了解产品内存的任意区域。

通过分析用于通过IP网络传输音频和视频的RTP（实时传输协议）流量，Silvanovich发现，通过发送格式错误的聊天消息，可以操纵支持读取不同数据类型的缓冲区的内容，从而导致客户端和MMR服务器崩溃。

此外，缺少空检查—；用于确定字符串的结尾—；使通过网络浏览器加入缩放会议时，内存中的数据泄漏成为可能。

研究人员还将内存损坏缺陷归因于Zoom未能启用ASLR，即地址空间布局随机化，这是一种旨在增加执行缓冲区溢出攻击难度的安全机制。

西尔瓦诺维奇说：“Zoom MMR过程中缺少ASLR，这大大增加了攻击者破坏它的风险。”。“ASLR可以说是防止利用内存损坏的最重要的缓解措施，大多数其他缓解措施在某种程度上依赖于它来发挥作用。在绝大多数软件中，没有充分的理由禁用它。”

虽然大多数视频会议系统使用WebRTC或PJSIP等开源库来实现多媒体通信，但Project Zero将Zoom对专有格式和协议的使用及其高昂的许可费（近1500美元）称为安全研究的障碍。

西尔瓦诺维奇说：“封闭源代码软件带来了独特的安全挑战，Zoom可以做更多的工作，让安全研究人员和其他希望对其进行评估的人能够访问他们的平台。”。“虽然Zoom安全团队帮助我访问和配置服务器软件，但尚不清楚其他研究人员是否能获得支持，而且软件的许可仍然很昂贵。”