GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

Zoom 远程代码执行0 day缝隙

颁布功夫 2021-04-12

0x00 缝隙概述

CVE ID		时间	2021-04-12
类型	RCE	等级	高危
远程利用	是	影响领域
PoC/EXP		在野利用

0x01 缝隙详情

Zoom 是一个单一易用的在线视频会议软件,它提供了视频通讯、音频通讯、屏幕共享履历以及在线群组谈天职能。

Pwn2Own较量是由白帽网络安全专业人员和团队参与，以竞争发现盛行软件和服务中的谬误的较量。

2021年04月07日，两名荷兰白帽安全专家在参与年度推算机黑客大赛Pwn2Own时在Zoom中发现了一个远程代码执行（RCE）缝隙，此缝隙结合了三个缝隙攻击链来节造远程系统，成功利用此缝隙的攻击者可能在LAN、WAN或Internet上的远程推算机上执行代码。此表，该缝隙的利用只需用户进行一次Zoom通话，而无需用户交互。

Pwn2Own组织已经在twitter上颁布了该缝隙的gif利用演示，通过在运行Zoom的系统上打开推算器Calc.exe。

影响领域

Windows版Zoom

Mac版Zoom

（iOS及Android目前尚未测试，浏览器版不受影响。）

0x02 措置建议

由于Zoom还没有功夫建复此缝隙，因而该缝隙的具体技术细节仍在保密中。目前，只有两名安全专家和Zoom知路该缝隙的工作道理，建议关注Zoom官方颁布的安全更新。

下载链接：

https://www.zoom.us/download

0x03 参考链接

https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/04/zoom-zero-day-discovery-makes-calls-safer-hackers-200000-richer/

https://www.zdnet.com/article/critical-zoom-vulnerability-triggers-remote-code-execution-without-user-input/#ftag=RSSbaffb68

https://twitter.com/i/status/1379855435730149378

0x04 功夫线

2021-04-07 Keuper和Alkemade发现缝隙

2021-04-12 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】