0

  • Votre panier est vide.

  • LOGIN

Deux failles critiques dans le zoom auraient pu permettre aux attaquants de pirater les systèmes via le chat

Certains articles de veille peuvent faire l'objet de traduction automatique.

Si vous utilisez Zoom—En particulier pendant cette période difficile pour faire face à votre scolarité, à votre entreprise ou à votre engagement social — assurez-vous que vous utilisez la dernière version du logiciel de visioconférence très populaire sur vos ordinateurs Windows, macOS ou Linux.

Non, il ne s’agit pas de l’arrivée de la fonctionnalité de cryptage de bout en bout « réelle » la plus attendue, qui apparemment, selon les dernières nouvelles, ne serait plus que disponible pour les utilisateurs payants. Au lieu de cela, ce dernier avertissement concerne deux vulnérabilités critiques récemment découvertes.

Les chercheurs en cybersécurité de Cisco Talos ont dévoilé aujourd’hui qu’ils avaient découvert deux vulnérabilités critiques dans le logiciel Zoom qui auraient pu permettre à des attaquants de pirater les systèmes des participants au chat de groupe ou d’un destinataire individuel à distance.

Les deux failles en question sont des vulnérabilités de traversée de chemin qui peuvent être exploitées pour écrire ou planter des fichiers arbitraires sur les systèmes exécutant des versions vulnérables du logiciel de visioconférence afin d’exécuter du code malveillant.

Selon les chercheurs, une exploitation réussie des deux failles ne nécessite aucune ou très peu d’interaction de la part des participants au chat ciblés et peut être exécutée simplement en envoyant des messages spécialement conçus via la fonction de chat à un individu ou à un groupe.

La première vulnérabilité de sécurité (CVE-2020-6109) résidait dans la façon dont Zoom exploite le service GIPHY, récemment acheté par Facebook, pour permettre à ses utilisateurs de rechercher et d’échanger des GIF animés tout en discutant.

Les chercheurs constatent que l’application Zoom n’a pas vérifié si un GIF partagé se charge à partir du service Giphy ou non, permettant à un attaquant d’intégrer des GIF à partir d’un serveur tiers contrôlé par un attaquant, qui zooment par conception en cache / stockent sur le système des destinataires dans un dossier spécifique associé à l’application.

En outre, comme l’application ne nettoyait pas non plus les noms de fichiers, elle aurait pu permettre aux attaquants de parcourir le répertoire, incitant l’application à enregistrer des fichiers malveillants déguisés en GIF dans n’importe quel emplacement du système de la victime, par exemple, le dossier de démarrage.

La deuxième vulnérabilité d’exécution de code à distance (CVE-2020-6110) résidait dans la manière dont les versions vulnérables des extraits de code de processus d’application Zoom partagés via le chat.

« La fonctionnalité de chat de Zoom repose sur la norme XMPP avec des extensions supplémentaires pour prendre en charge la riche expérience utilisateur. L’une de ces extensions prend en charge une fonctionnalité consistant à inclure des extraits de code source prenant en charge la coloration syntaxique complète. La fonctionnalité permettant d’envoyer des extraits de code nécessite l’installation de un plug-in supplémentaire, mais ne les reçoit pas. Cette fonctionnalité est implémentée comme une extension de la prise en charge du partage de fichiers, « le les chercheurs ont dit.

Cette fonctionnalité crée une archive zip de l’extrait de code partagé avant l’envoi, puis la décompresse automatiquement sur le système du destinataire.

Selon les chercheurs, la fonction d’extraction de fichier zip de Zoom ne valide pas le contenu du fichier zip avant de l’extraire, ce qui permet à l’attaquant de planter des binaires arbitraires sur les ordinateurs ciblés.

« De plus, un problème de traversée de chemin partiel permet au fichier zip spécialement conçu d’écrire des fichiers en dehors du répertoire généré aléatoirement prévu », ont déclaré les chercheurs.

Les chercheurs de Cisco Talos ont testé les deux failles sur la version 4.6.10 de l’application cliente Zoom et les ont signalées de manière responsable à l’entreprise.

Sorti le mois dernier, Zoom a corrigé les deux vulnérabilités critiques avec la sortie de la version 4.6.12 de son logiciel de visioconférence pour les ordinateurs Windows, macOS ou Linux.

Voir aussi :

novembre 24, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)