Эксперт по безопасности подразделения Google Project Zero Иван Фретрик обнаружил в сервисе для видеосвязи Zoom 4 уязвимости, которые позволяют злоумышленнику отправить жертве вредоносные сообщения, замаскировав их под отправку с легитимного сервера. Специалист классифицировал уязвимости по некорректному парсингу XML в клиенте Zoom, некорректно ограниченных cookies сессии, даунгрейду пакетов обновлений в клиенте Zoom для Windows и недостаточной валидации хоста при переключении сервера. Отмечается, что наименее опасная «дыра» в безопасности приложения получила 5,9 баллов, а самая опасная — 8,1 балл. Благодаря им хакер может добиться даже подключения Zoom к вредоносному серверу и загрузки потенциально опасного обновления. Пользователям рекомендуется обновить Zoom до версии 5.10.0, чтобы снизить риски эксплуатации выявленных багов.
Источник новости: www.ferra.ru
