Zoom Windows 用戶端軟體爆零時差 RCE 漏洞  影響 Windows 7 用戶

安全廠商 ACROS Security 發現 Zoom 用戶端軟體有一零時差漏洞，可讓攻擊者遠端執行程式碼，所幸僅影響 Windows 7 用戶。目前這家視訊軟體業者正在趕製修補程式。

ACROS Security Mitja Kolsek 安全研究人員指出，這個零時差漏洞影響 Zoom Windows 用戶端，不過只有在用戶端跑在舊版作業系統如 Windows 7 或 Windows Server 2008 R2 以前的平台才會曝險。Windows 8 或 Windows 10 用戶則不用擔心。

研究人員表示，只要攻擊者能誘使用戶進行一些簡單動作，像是開啟文件檔，本漏洞即可讓遠端攻擊者在受害電腦上執行任意程式碼，而且用戶完全不會收到任何警示訊息。

ACROS 已經通報 Zoom，而 Zoom 釋出修補程式前，ACROS 並未公佈太多漏洞細節。這家安全廠商並已釋出一款 Opatch 用戶端，號稱其中的「微型修補程式」可移除程式內 4 處的漏洞，而且支援早前的 Zoom Client for Windows 5.0.3 到最新的 5.1.2 版。

Zoom 也證實了漏洞的消息。Zoom 公司表示正在趕製修補程式，但未表示何時可以釋出。

來源：SCMagazine