雲端視訊會議室Zoom,可跨平台支援桌機、行動裝置多方開會,提供會中提問、螢幕共享、文字聊天、錄影等功能,經Tenable公司研究,其3款桌機版Zoom client(macOS、Windows、Linux)之訊息泵浦函式,囿於欠缺輸入字串檢驗,攻擊者僅須掌握與會者IP、port、ID等資訊,可偽造UDP訊息,送出惡意命令,入侵後能劫持操縱受害者桌面、鍵盤、滑鼠;或者假冒與會者發表意見;甚至比照主席,將某人踢出會議並封鎖開會邀請,駭客身分可以是與會人員、區域網路用戶,理論上攻擊行動可跨網域實施,損及用戶商譽,Zoom Video Communications已釋出升級版修補該弱點,據悉全球企業用戶達75萬,經查國內Zoom使用機關、業者有新北市消防局、交通大學、台北市電腦公會、全球人壽、富邦證券、中華電信、中華航空等,建議相關單位儘速部署安全Zoom版本。
圖片來源:https://news.it.ufl.edu/wp-content/uploads/2018/09/Zoom_Featured_Image_250_250.png
影響產品:
- Zoom client for macOS 4.1.33259.0925以前版本
- Zoom client for Windows 4.1.33259.0925以前版本
- Zoom client for Linux 2.4.129780.0915以前版本
解決辦法:
- 下載Zoom for macOS 4.1.34801.1116,請參考https://support.zoom.us/hc/en-us/articles/201361963-New-Updates-for-Mac-OS。
- 下載Zoom for Windows 4.1.34814.1119,請參考https://support.zoom.us/hc/en-us/articles/201361953-New-Updates-for-Windows。
- 下載Zoom for Linux 2.6.146750.1204,請參考https://support.zoom.us/hc/en-us/articles/205759689-New-Updates-for-Linux。
資料來源:
- https://www.tenable.com/blog/tenable-research-advisory-zoom-unauthorized-command-execution-cve-2018-15715
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15715
- https://support.zoom.us/hc/en-us/sections/201214205-Release-Notes
- https://www.tenable.com/security/research/tra-2018-40
- https://github.com/tenable/poc/tree/master/Zoom
- https://zoomnow.net/
- https://zoomnow.net/zntw_zoom_FAQ.php
- https://zoom.us/zoomisbetter
- https://zoomnow.net/zntw_about_zoom.php
- https://support.zoom.us/hc/en-us/articles/201361963-New-Updates-for-Mac-OS
- https://support.zoom.us/hc/en-us/articles/201361953-New-Updates-for-Windows
- https://support.zoom.us/hc/en-us/articles/205759689-New-Updates-for-Linux
