Zoom多款软件远程代码执行漏洞安全通告
发布时间 2019-07-17漏洞编号和级别
CVE编号:CVE-2019-13567,危险级别:高危,CVSS分值:官方未评定
影响版本
受影响的版本
Mac的Zoom Client 4.4.53932.0709之前版本
漏洞概述
Zoom是企业视频通信领域的领导者,是视频和音频会议,聊天和网络研讨会最受欢迎和最可靠的云平台之一。
在7月10日广受欢迎且广泛使用的Zoom视频会议软件中披露隐私漏洞CVE-2019-13450的混乱和恐慌还没有结束。软件本地安装的web服务器不仅允许任何网站打开您的设备网络摄像头,而且还可以让黑客远程完全控制您的Apple Mac计算机。
据报道,用于macOS的基于云的Zoom会议平台也被发现容易受到另一个严重漏洞(CVE-2019-13567)的影响,该漏洞可能允许远程攻击者在目标系统上执行任意代码。
这两个漏洞都源于一个有争议的本地Web服务器,在端口19421上运行,Zoom客户端安装在用户的计算机上以提供点击加入功能。安全研究人员强调的主要是两个问题:首先,本地服务器“不安全”通过HTTP接收命令,允许任何网站与之交互,其次,当用户从其系统中删除Zoom客户端时,它不会被卸载,让他们永远脆弱。
下面列出的Zoom软件共有10个更名版本,可在市场上买到。所有这些视频会议软件都在工作,并包含相同的漏洞,使用户也面临远程黑客攻击的风险:
Zhumu
Telus Meetings
BT Cloud Phone Meetings
Office Suite HD Meeting
AT&T Video Meetings
BizConf
Huihui
UMeeting
Zoom CN
Apple已推送了所有macOS用户的更新,自动删除Zoom Web服务器而无需任何用户交互。
漏洞验证
https://twitter.com/karanlyons/status/1150774640899317760。
修复建议
RingCentral修补了漏洞,请更新至RingCentral Meetings MacOS app v7.0.151508.0712:https://support.ringcentral.com/s/article/11201-Meetings-Security-Advisory?language=en_US。
建议用户通过运行GitHub上的研究人员提供的命令手动删除隐藏的Web服务器:https://gist.github.com/karanlyons/1fde1c63bd7bb809b04323be3f519f7e。
参考链接
https://thehackernews.com/2019/07/zoom-video-conferencing-hacking.html
京公网安备11010802024551号