-
06/04/2022
-
24
-
41 bài viết
Zoom khắc phục lỗ hổng có mức độ nghiêm trọng cao
Ứng dụng nổi tiếng Zoom vừa giải quyết một lỗ hổng có mức độ nghiêm trọng cao, lỗi có thể khiến người dùng dễ bị kẻ xấu tấn công.
Lỗ hổng này có điểm mức độ nghiêm trọng CVSS là 8,8/10, được ghi nhận là một lỗ hổng liên quan tới việc phân tích cú pháp URL không đúng trong Zoom Clients. Lỗ hổng bảo mật được theo dõi là CVE-2022-28763, có ảnh hưởng đến các phiên bản:
“Ứng dụng Zoom Client cho cuộc họp (dành cho Android, iOS, Linux, macOS và Windows) trước phiên bản 5.12.2 dễ bị dính lỗ hổng phân tích cú pháp URL. Nếu một URL Zoom độc hại được mở, liên kết độc hại có thể hướng người dùng kết nối với một địa chỉ mạng tùy ý, dẫn đến các cuộc tấn công bổ sung bao gồm cả việc chiếm quyền điều khiển” - Zoom cho biết trong một ghi chú.
Kẻ tấn công có thể khai thác lỗ hổng CVE-2022-28763 bằng cách sử dụng URL cuộc họp Zoom được chế tạo đặc biệt để chuyển hướng nạn nhân đến các trang web tùy ý.
Tuần trước, Zoom đã khắc phục hai lỗ hổng (CVE-2022-28762 và CVE-2022-28761) có thể kết nối và điều khiển các tiện ích mở rộng đang chạy trong ứng dụng Zoom nhằm ngăn người tham gia nhận âm thanh và video gây gián đoạn cuộc họp.
Người dùng ứng dụng được khuyến nghị cập nhật lên phiên bản mới nhất (5.12.2) để giảm thiểu mọi mối đe dọa tiềm ẩn phát sinh từ việc khai thác tích cực các lỗ hổng.
Lỗ hổng này có điểm mức độ nghiêm trọng CVSS là 8,8/10, được ghi nhận là một lỗ hổng liên quan tới việc phân tích cú pháp URL không đúng trong Zoom Clients. Lỗ hổng bảo mật được theo dõi là CVE-2022-28763, có ảnh hưởng đến các phiên bản:
- Zoom Client trên các thiết bị Android, iOS, Linux, macOS và Windows với các phiên bản trước 5.12.2
- Zoom VDI Windows Meeting Clients với các phiên bản trước 5.12.2
- Zoom Rooms for Conference Room dành cho Android, iOS, Linux, macOS và Windows với các phiên bản trước 5.12.2
“Ứng dụng Zoom Client cho cuộc họp (dành cho Android, iOS, Linux, macOS và Windows) trước phiên bản 5.12.2 dễ bị dính lỗ hổng phân tích cú pháp URL. Nếu một URL Zoom độc hại được mở, liên kết độc hại có thể hướng người dùng kết nối với một địa chỉ mạng tùy ý, dẫn đến các cuộc tấn công bổ sung bao gồm cả việc chiếm quyền điều khiển” - Zoom cho biết trong một ghi chú.
Kẻ tấn công có thể khai thác lỗ hổng CVE-2022-28763 bằng cách sử dụng URL cuộc họp Zoom được chế tạo đặc biệt để chuyển hướng nạn nhân đến các trang web tùy ý.
Tuần trước, Zoom đã khắc phục hai lỗ hổng (CVE-2022-28762 và CVE-2022-28761) có thể kết nối và điều khiển các tiện ích mở rộng đang chạy trong ứng dụng Zoom nhằm ngăn người tham gia nhận âm thanh và video gây gián đoạn cuộc họp.
Người dùng ứng dụng được khuyến nghị cập nhật lên phiên bản mới nhất (5.12.2) để giảm thiểu mọi mối đe dọa tiềm ẩn phát sinh từ việc khai thác tích cực các lỗ hổng.
Nguồn: Security Online
Chỉnh sửa lần cuối bởi người điều hành: