据安全事务消息,谷歌零项目安全研究人员近日在视频会议软件Zoom中发现了两个重要漏洞,可能使用户遭受攻击。这两个漏洞会影响Windows、macOS、Linux、iOS和Android平台上的Zoom客户端,这意味着几乎所有用户都面临漏洞风险。第一个漏洞编号为CVE-2021-34423,是一个高危缓冲区溢出漏洞,CVSS基础评分为7.3。第二个漏洞,编号为CVE-2021-34424,是一个高危内存损坏漏洞,CVSS基本评分为7.3。目前,谷歌已经将这两个漏洞分享给了Zoom。Zoom发布的安全公告承认了这两个漏洞,并表示,“在某些产品中发现了缓冲区溢出漏洞和内存损坏漏洞,这些漏洞可能导致应用程序或服务崩溃,并允许攻击者执行任意代码或暴露内容状态过程等”。以下是受影响的Zoom产品列表:5.8.4版之前的Zoom会议客户端(适用于Android、iOS、Linux、macOS和Windows)5.8.1版之前的黑莓Zoom会议客户端(适用于Android和iOS)之前5.8.4版ZoomClientforMeetingsforIntune(适用于Android和iOS)早于5.0.1版ZoomClientforMeetingsforChromeOSZoomRoomsforMeetings早于5.8.3版(适用于Android、AndroidBali、macOS、和Windows)5.8.3版本之前的ZoomRoomsController(适用于Android、iOS和Windows)11月29日,Zoom宣布推出自动更新功能,旨在简化桌面客户端的更新过程。目前仅适用于Windows和macOS,移动设备可以通过各自应用商店内置的自动更新程序进行更新。Zoom隐私安全技术产品经理表示,“对于个人用户,自动更新功能将默认开启。如果要关闭此功能,用户可以在首次安装或首次更新后选择退出其桌面客户端的自动更新。此外,Zoom用户还可以自主选择更新频率:如果选择高频更新,则立即安装最新的软件和功能;如果他们选择低频更新,他们会直接减少更新次数,更专注于最大化稳定性。虽然该平台此前曾为企业用户提供自动更新,但此次更新“将目标受众扩大到包括所有非企业组织成员的个人用户”。
