Две критические бреши в Zoom позволяют взломать системы пользователей

Две критические бреши в Zoom позволяют взломать системы пользователей

Две критические бреши в Zoom позволяют взломать системы пользователей

Несмотря на резкий скачок дохода разработчиков Zoom, сервис продолжают преследовать проблемы безопасности. Исследователи из Cisco Talos выявили две новые уязвимости в программе. Бреши получили статус критических, поскольку позволяют атакующим взламывать системы пользователей, участвующих в групповых чатах.

Как пояснили специалисты, тип обеих уязвимостей — «path traversal», то есть они допускают запись или копирование произвольных файлов в систему жертвы. Успешная эксплуатация этих дыр может вылиться в выполнение вредоносного кода.

При этом в ходе атаки с целевым пользователем требуется минимальное взаимодействие — ему просто нужно отправить специально сформированное сообщение через уязвимую версию Zoom.

Одна из брешей, получившая идентификатор CVE-2020-6109, находится в службе GIPHY, которая используется в Zoom для поиска GIF-картинок. К слову, в прошлом месяце Facebook купил GIPHY.

Как выяснили эксперты, Zoom не проверяет источник, из которого загружается GIF. Таким образом, атакующий может «подсунуть» своё злонамеренное изображение. Более того, Zoom не проверяет имена файлов, благодаря чему замаскированные под GIF вредоносные объекты могут проникнуть в локальные папки пользователя.

Вторая уязвимость — CVE-2020-6110 — приводит к удалённому выполнению кода. Она затрагивает обработку кусков кода, отправленных в чаты. Это тоже проблема исключительно Zoom, с которой должны разобраться разработчики сервиса для видеоконференций.

Напомним, что в Zoom хотят усилить шифрование видеозвонков, но только для платных пользователей.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Курьеров находят первыми

Полиция арестовала в Алтайском крае курьера кибермошенников, который собирал деньги для аферистов, работающих по схеме «мама, я попал в аварию».

Молодой человек 2006 года рождения приходил к жертвам мошенников и собирал у них наличность, якобы для передачи детям или внукам, которые стали виновниками ДТП.

За 4 дня он собрал более 2,5 млн рублей у 11 потерпевших, в основном пенсионеров. Вознаграждение курьера составляло 5%. В целом же, как предупреждают сотрудники следственных органов, заработок курьеров не выше, чем доходы официально работающих.

Задержать злоумышленника, как сообщил телеграм-канал «Вестник киберполиции России», помог внук одной из потерпевших, который работает таксистом. Его бабушка стала жертвой такого мошенничества, он запомнил курьера и распространил его описание в группе, которой пользуются водители.

По этому описанию один из водителей узнал в одним из пассажиров злоумышленника и передал его полицейскому наряду. При себе у курьера находились 45 тыс. рублей и телефон, содержащий сведения о его причастности к обману пожилых людей, включая переписку с заказчиком.

Пособник мошенников стал фигурантом уголовных дел, возбуждённых по части 3 статьи 159 Уголовного кодекса Российской Федерации («Мошенничество»). Фигуранту избрана мера пресечения в виде заключения под стражу. Следствие продолжается.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru