国外研究人员发觉DDoS高防Zoom中存在多个安全漏洞-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 国外研究人员发觉DDoS高防Zoom中存在多个安全漏洞

国外研究人员发觉DDoS高防Zoom中存在多个安全漏洞

小墨安全管家 2020-08-12 13:47 CC防护 89 ℃
DDoS防御

Zoom Production Server上无法利用的RCE

国外研究人员发明DDoS高防Zoom中存在多个安全漏洞

Ahmed发觉了适用于Linux的Zoom Launcher漏洞,该漏洞大概使攻击者以启动“ zoom”可执行文件的方式运行任何未经授权的软件。

Ahmed发觉“ Zoom TLS / SSL在设计上已被Linux破坏,编写了一具PoC,将TLS / SSL证书指纹注入到本地Zoom数据库中。在用户计算机上执行此代码后,将答应所有注入的证书,而不大概在Zoom上出错。”Zoom没有彻底端到端加密。

漏洞列表:

带有 Zoom App的Linux 缺陷:

另一具漏洞是Zoom上的图像转换,它将GIF转换为PNG,举行图像转换Zoom使用具有内存泄漏漏洞的ImageMagick版本,由于未初始化ImageMagick的GIF解析器上的内存空间,所以发生了内存泄漏漏洞。

国外安全研究员Mazin Ahmed在2020年DEFCON会议上介绍了他的发觉,并披露了Zoom的漏洞,目前所有漏洞已在5.2.4版中修复。

他使用漏洞情报平台FullHunt.io来查询与Zoom关联的域。

Zoom于2020年8月3日公布了更新,在Zoom版本5.2.4的更新中,所有安全漏洞已得到修复。

Zoom是流行的视频会议应用程序,进展迅速,到2020年6月份左右已超过2亿人次,然而该应用程序出名容易成为黑客的攻击要紧目标。

Zoom Production Server上的内存泄漏

他观看到Zoom暴露了Kerberos服务,该服务提供了更广泛的攻击面来枚举登录凭据。

有关Zoom Launcher实施的很糟糕的设计实践。

可访咨询的Zoom服务器上的Shadow IT咨询题

放大暴露的公共Kerberos身份验证服务器

Zoom用户之间的端到端加密消息以纯文本格式存储在磁盘上。

TLS / SSL实施错误的设计实践

所有本地用户均可访咨询的Zoom Local Database,包括私有的端到端加密消息(以纯文本存储)和访咨询令牌。


DDoS防御

当前位置:主页 > CC防护 > 国外研究人员发觉DDoS高防Zoom中存在多个安全漏洞

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119