鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

Zoom 远程代码执行0 day误差

宣布时间 2021-04-12

0x00 误差概述

CVE ID		时间	2021-04-12
类型	RCE	等级	高危
远程使用	是	影响规模
PoC/EXP		在野使用

0x01 误差详情

Zoom 是一个简朴易用的在线视频聚会软件,它提供了视频通讯、音频通讯、屏幕共享体验以及在线群组谈天功效。。。

Pwn2Own竞赛是由白帽网络清静专业职员和团队加入，，，以竞争发明盛行软件和效劳中的过失的竞赛。。。

2021年04月07日，，，两名荷兰白帽清静专家在加入年度盘算机黑客大赛Pwn2Own时在Zoom中发明了一个远程代码执行（RCE）误差，，，此误差连系了三个误差攻击链来控制远程系统，，，乐成使用此误差的攻击者能够在LAN、WAN或Internet上的远程盘算机上执行代码。。。别的，，，该误差的使用只需用户举行一次Zoom通话，，，而无需用户交互。。。

Pwn2Own组织已经在twitter上宣布了该误差的gif应用演示，，，通过在运行Zoom的系统上翻开盘算器Calc.exe。。。

影响规模

Windows版Zoom

Mac版Zoom

（iOS及Android现在尚未测试，，，浏览器版不受影响。。。）

0x02 处置惩罚建议

由于Zoom还没有时间修复此误差，，，因此该误差的详细手艺细节仍在保密中。。。现在，，，只有两名清静专家和Zoom知道该误差的事情原理，，，建议关注Zoom官方宣布的清静更新。。。

下载链接：

https://www.zoom.us/download

0x03 参考链接

https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/04/zoom-zero-day-discovery-makes-calls-safer-hackers-200000-richer/

https://www.zdnet.com/article/critical-zoom-vulnerability-triggers-remote-code-execution-without-user-input/#ftag=RSSbaffb68

https://twitter.com/i/status/1379855435730149378

0x04 时间线

2021-04-07 Keuper和Alkemade发明误差

2021-04-12 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】