Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Exploit na podatność 0-day w Zoomie? Cena ~2 500 000 PLN. „Idealny do szpiegostwa gospodarczego”

15 kwietnia 2020, 18:40 | W biegu | komentarzy 6

Vice donosi o dwóch 0-dayach na Zooma: jeden z nich to „przyjemny i czysty RCE” (Remote Code Execution) w zoomowej aplikacji na Windowsy. Druga podatność dotyczy klienta na MacOS (choć nie jest to RCE). Istnienie tych podatności, dziennikarz Vice potwierdził w trzech niezależnych źródłach, choć sceptycy powiedzą – pokażcie exploita – uwierzę :-) Taka przyjemność kosztuje jednak około $500,000 – to właśnie wg Vice cena startowa jednego z exploitów.

“[The Windows zero-day] is nice, a clean RCE [Remote Code Execution],” said one of the sources, who is a veteran of the cybersecurity industry. “Perfect for industrial espionage.”

Super popularność, średnie bezpieczeństwo – to idealny kandydat zarówno dla szukających podatności jak i chcących nieco poatakować… Może dlatego firmy takie jak Google, duże banki czy inne wrażliwe branże zabraniają użycia Zooma.

Zdecydowanie bardziej bezpieczne jest użycie tego popularnego narzędzia w przeglądarce (bez instalowania dodatkowej aplikacji). Więc jeśli potrzebujecie korzystać z Zooma – polecamy tę właśnie opcję.

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Paweł

    rozumiem ze jitsi może nie mieć wszystkich ficzerów, ale taki MS team, czy google meet, w czym ustępuje temu wszędobylskiemu zoomowi? Pytam dla kolegi, który szuka jakiegoś optymalnego rozwiązania…

    Odpowiedz
    • Marek

      To nie tak, że ustępuje. Dla każdego coś miłego. Meet jest np fajny do szybkich spotkań ad-hoc – dajesz komuś url, on tam wchodzi i rozmawiacie. Teams to trochę więcej niż same videokonferencje. Zoom wytrzymuje więcej użytkowników na raz na jednym spotkaniu, Teams/Meet mają jakieś większe ograniczenia (do 50 osób?). Zoom miał najlepszą jakość połączeń z tych wszystkich narzędzi, których używałem do tej pory. Poza tym Zoom licencyjnie wychodzi dużo taniej – w przypadku Meet czy Teams każdy użytkownik w korpo ma swoje konto, które kosztuje. W Zoom płacisz tylko za organizatora konferencji więc w praktyce na całe korpo wystarcza kilka(naście) generycznych kont. No i GSuite i O365 wymagają kont dla min. 5 użytkowników, jak jesteś freelancerem to się nie opłaca – bierzesz zooma, albo wymienione przez Ciebie Jitsi czy po prostu Hangoutsy.
      Btw od siebie polecam też join[.]me – taki odpowiednik zooma, który się nie przebił.

      Odpowiedz
      • pat

        W teams robimy conferencje dla 200 osob i smiga dobrze, ale mamy pelnego office 365, a darmowa wersja teams nie wiem czy ma jakies ograniczenia co do liczby uzytkownikow, ale na pewno nie ma w niej kalendarza z tego co pamietam i osobiscie nie podobaja mi sie wielkie „chmurki” w chacie.

        Odpowiedz
  2. John Sharkrat

    Tak z innej beczki
    Ma ktoś pomysł jak zablokować to g.wo zwane alert RCB?

    Odpowiedz
    • Szymon

      Niektórzy podpalają maszty komórkowcom.

      Odpowiedz
      • John Sharkrat

        Nie komórkowcom, tylko maszty od 5G.
        Nie potrzebuje tego gó.wna, a mnie rozprasza i wkurza kal czekam na jakiegoś ważnego sms-a

        Odpowiedz

Odpowiedz