Żądny wiedzy? Wbijaj na Mega Sekurak Hacking Party w maju! -30% z kodem: majearly
Zoom. 0-day umożliwiający wykonanie dowolnego polecenia na komputerze ofiary bez żadnej interakcji jej strony. Badacze otrzymali ~ 769858 pln
Wydarzenie “Pwn2own” organizowane przez “Zero Day Initiative” trwa w najlepsze, a badacze pokazują coraz ciekawsze znaleziska. Niedawno Microsoft Teams, teraz na celowniku znalazł się Zoom – popularne oprogramowanie do wideokonferencji. Badacze bezpieczeństwa Daan Keuper oraz Thijs Alkemade wykorzystali kombinację 3 błędów do stworzenia 1 “solidnego” exploita. Dodatkowo, exploit nie wymaga interakcji ze strony ofiary. Całość to wykonanie dowolnego kodu na komputerze ofiary (prawdopodobnie poprzez przesłanie jej odpowiednio spreparowanej wiadomości).
Daan Keuper and Thijs Alkemade from Computest used a three bug chain to exploit Zoom messenger and get code execution on the target system – all without the target clicking anything.
Dobra wiadomość jest taka, że podatność została odnaleziona przez tych “dobrych” hakerów, a badacze zostali odpowiednio wynagrodzeni za swoje starania (około 769858 pln).
~ Jakub Bielaszewski
Widzę, iż wpadki dla zoom i teams szypią się jak z rękawa. A co z innymi systemami telekonferencji? np. Google Meets czy selfhosted/org jitsi?