Zoom Windows 用戶端軟體爆零時差 RCE 漏洞 影響 Windows 7 用戶
安全廠商 ACROS Security 發現 Zoom 用戶端軟體有一零時差漏洞,可讓攻擊者遠端執行程式碼,所幸僅影響 Windows 7 用戶。目前這家視訊軟體業者正在趕製修補程式。
ACROS Security Mitja Kolsek 安全研究人員指出,這個零時差漏洞影響 Zoom Windows 用戶端,不過只有在用戶端跑在舊版作業系統如 Windows 7 或 Windows Server 2008 R2 以前的平台才會曝險。Windows 8 或 Windows 10 用戶則不用擔心。
研究人員表示,只要攻擊者能誘使用戶進行一些簡單動作,像是開啟文件檔,本漏洞即可讓遠端攻擊者在受害電腦上執行任意程式碼,而且用戶完全不會收到任何警示訊息。
ACROS 已經通報 Zoom,而 Zoom 釋出修補程式前,ACROS 並未公佈太多漏洞細節。這家安全廠商並已釋出一款 Opatch 用戶端,號稱其中的「微型修補程式」可移除程式內 4 處的漏洞,而且支援早前的 Zoom Client for Windows 5.0.3 到最新的 5.1.2 版。
Zoom 也證實了漏洞的消息。Zoom 公司表示正在趕製修補程式,但未表示何時可以釋出。
來源:SCMagazine