Lỗi chia sẻ màn hình trên Zoom cho phép truy cập các ứng dụng bị hạn chế

[WhiteHat News #ID:2017]

Một lỗi mới trong tính năng chia sẻ màn hình của Zoom có thể vô tình tiết lộ thông tin tới những người tham dự khác trong cuộc gọi.

Lỗ hổng được định danh CVE-2021-28133, tuy chưa được vá nhưng khó khai thác trong thực tế do nội dung của các ứng dụng chỉ được chia sẻ trong thời gian ngắn.

Chức năng chia sẻ màn hình của Zoom cho phép người dùng chia sẻ toàn bộ màn hình máy tính/điện thoại hoặc giới hạn chỉ chia sẻ các ứng dụng hoặc một phần của màn hình. Vấn đề bắt nguồn từ thực tế là một ứng dụng thứ hai “chồng” lên trên một ứng dụng đã được chia sẻ có thể tiết lộ nội dung của ứng dụng thứ 2 trong một khoảng thời gian ngắn.

Theo các nhà nghiên cứu, "Khi người dùng Zoom chia sẻ một cửa sổ ứng dụng thông qua chức năng 'chia sẻ màn hình', những người tham gia cuộc họp có thể xem nhanh nội dung của các cửa sổ ứng dụng khác rõ ràng không được chia sẻ”.

Lỗi này đã được thử nghiệm trên các phiên bản 5.4.3 và 5.5.4 của máy khách Windows và Linux và đã được phát hiện từ tháng 12 năm 2020. Việc bản vá chưa được phát hành sau ba tháng một phần đến từ việc khó khai thác lỗ hổng.

Tuy nhiên mức độ nghiêm trọng của lỗ hổng tùy thuộc vào dữ liệu bị vô tình chia sẻ. Các nhà nghiên cứu cảnh báo việc kẻ xấu tham gia vào cuộc họp Zoom có thể khai thác lỗi bằng cách chụp màn hình để ghi lại cuộc họp và phát lại phần ghi âm để xem thông tin cá nhân.

Đại diện của hãng Zoom cho biết đang xử lý vấn đề.

Theo The Hacker News​