Zoom 致力于修补 Windows 客户端中披露的 zero-day 漏洞
安全公司披露了Zoom的Windows客户端的一个zero-day漏洞。
视频会议软件Zoom正在修补网络安全公司ACROS Security在博客上披露的一个zero-day漏洞。
这家安全公司说zero-day影响Zoom的Windows客户端,但只有当客户端运行在旧的Windows操作系统版本,如Windows 7和Windows Server 2008 R2甚至更早。
ACROS Security首席执行官Mitja Kolsek表示,在Windows 8或Windows 10上运行的Zoom客户端不会受到影响。
Kolsek说:“这个漏洞允许远程攻击者在受害者的计算机上执行任意代码,通过让用户执行一些典型的操作,比如打开一个文档文件,就可以安装Windows Zoom客户端(任何当前支持的版本)。”
“在攻击过程中,它不会向用户显示安全警告,”他补充道。
Kolsek表示,ACROS并不是自己发现了这个漏洞,而是从一位想要对其身份保密的安全研究人员那里收到的。
ACROS报告了zero-day对Zoom的攻击,并发布了一个更新到它的0patch客户端,以防止对它自己的客户的攻击,直到Zoom发布一个正式的修复。
CROS没有发布任何关于zero-day的技术细节,但一份来自Zoom发言人的声明中表示,该公司确认了漏洞和报告的准确性。
Zoom认真对待所有关于潜在安全漏洞的报告。我们收到了一个问题的报告,该问题会影响运行Windows 7和更老版本的用户。我们已经确认了这个问题,目前正在开发一个补丁来快速解决这个问题。”
由于开发一个全面修复方案的不可预测性,Zoom发言人不能承诺何时修复可用;然而,一个补丁目前正在开发中。
ZERO-DAY是在“功能冻结”结束几天后披露的
在发现和披露了Zoom服务的几个安全问题后,4月1日,公司暂停了所有新功能的开发,专注于安全和隐私相关的改进和bug修复。
上周7月1日,该公司专注于提高应用程序安全性的功能冻结期结束。
几天前,也就是6月24日,Zoom还聘请了新的首席信息安全官(CISO)Jason Lee,他曾担任Salesforce安全运营高级副总裁。
在其功能冻结期间,Zoom还聘请Luta安全帮助公司建立一个专业的错误奖励计划。Zoom和Luta Security在Lee被雇佣的当天结束了合作。