首页 > 清静研究 > 清静转达 > 清静通告

Zoom远程代码执行误差清静通告

宣布时间 2019-07-10

误差编号和级别

CVE编号：CVE-2019-13450，，，，，危险级别：高危，，，，，CVSS分值：官方未评定

影响版本

受影响的版本

Mac的Zoom app 4.4.4版本

误差概述

Zoom是企业视频通讯领域的向导者，，，，，是视频和音频聚会，，，，，谈天和网络钻研会最受接待和最可靠的云平台之一。。。。。

清静研究员果真披露了在Mac电脑上Zoom视频聚会应用中泛起的一个误差。。。。。此误差允许任何网站在未经用户允许的情形下强行将用户毗连到Zoom呼叫，，，，，并激活其摄像机。。。。。除此之外，，，，，此误差通过重复将用户加入无效呼叫，，，，，允许任何网页进入DOS（拒绝效劳）Mac。。。。。别的，，，，，若是您一经装置过Zoom客户端然后将其卸载，，，，，那么您的盘算机上仍然有一个localhost Web效劳器可以为您重新装置Zoom客户端，，，，，除了会见网页之外，，，，，您无需代表您举行任何用户交互。。。。。

该误差使用Zoom软件的点击加入功效，，，，，允许自动激活系统上装置的应用程序，，，，，通过Web浏览器加入视频聚会，，，，，只需点击约请链接，，，，，约请链接的示例是：https://zoom.us/j/492468757，，，，，此功效的实现使用侦听端口19421的外地Web效劳器，，，，，该效劳器可以通过HTTPS GET参数在没有须要授权下令的情形下吸收。。。。。它还允许在用户的Web浏览器中翻开的任何网站与其举行交互。。。。。在Mac上，，，，，若是你一经装置了Zoom，，，，，你的外地机械上有一台运行在端口19421上的Web效劳器。。。。。你可以通过在终端中运行lsof -i：19421来确认该效劳器保存。。。。。

该误差可能会使全球多达750,000家使用Zoom举行一样平常营业的公司曝光。。。。。

误差验证

POC：https://github.com/JLLeitschuh/zoom_vulnerability_poc。。。。。

修复建议

Zoom修补了误差。。。。。

缓解步伐：确保自己的Mac应用是最新的并禁用允许Zoom翻开其相机加入聚会的设置，，，，，见下图：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

参考链接

https://medium.com/bugbountywriteup/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

Zoom远程代码执行误差清静通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线