首页 > 清静研究 > 清静转达 > 清静通告

Zoom远程代码执行误差清静通告

宣布时间 2019-07-10

误差编号和级别

CVE编号：CVE-2019-13450，，，，，危险级别：高危，，，，，CVSS分值：官方未评定

影响版本

受影响的版本

Mac的Zoom app 4.4.4版本

误差概述

Zoom是企业视频通讯领域的向导者，，，，，是视频和音频聚会，，，，，谈天和网络钻研会最受接待和最可靠的云平台之一。。。。。。。

清静研究员果真披露了在Mac电脑上Zoom视频聚会应用中泛起的一个误差。。。。。。。此误差允许任何网站在未经用户允许的情形下强行将用户毗连到Zoom呼叫，，，，，并激活其摄像机。。。。。。。除此之外，，，，，此误差通过重复将用户加入无效呼叫，，，，，允许任何网页进入DOS（拒绝效劳）Mac。。。。。。。别的，，，，，若是您一经装置过Zoom客户端然后将其卸载，，，，，那么您的盘算机上仍然有一个localhost Web效劳器可以为您重新装置Zoom客户端，，，，，除了会见网页之外，，，，，您无需代表您举行任何用户交互。。。。。。。

该误差使用Zoom软件的点击加入功效，，，，，允许自动激活系统上装置的应用程序，，，，，通过Web浏览器加入视频聚会，，，，，只需点击约请链接，，，，，约请链接的示例是：https://zoom.us/j/492468757，，，，，此功效的实现使用侦听端口19421的外地Web效劳器，，，，，该效劳器可以通过HTTPS GET参数在没有须要授权下令的情形下吸收。。。。。。。它还允许在用户的Web浏览器中翻开的任何网站与其举行交互。。。。。。。在Mac上，，，，，若是你一经装置了Zoom，，，，，你的外地机械上有一台运行在端口19421上的Web效劳器。。。。。。。你可以通过在终端中运行lsof -i：19421来确认该效劳器保存。。。。。。。

该误差可能会使全球多达750,000家使用Zoom举行一样平常营业的公司曝光。。。。。。。

误差验证

POC：https://github.com/JLLeitschuh/zoom_vulnerability_poc。。。。。。。

修复建议

Zoom修补了误差。。。。。。。

缓解步伐：确保自己的Mac应用是最新的并禁用允许Zoom翻开其相机加入聚会的设置，，，，，见下图：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

参考链接

https://medium.com/bugbountywriteup/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

Zoom远程代码执行误差清静通告

关于鉴黑担保网

解决计划

清静研究

联系鉴黑担保网

7*24小时效劳热线