国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

Zoom漏洞可使攻擊者攔截數據攻擊客戶基礎設施

morgan / 2590人閱讀

摘要:云視頻會議提供商發布了針對其產品中多個漏洞的補丁,這些漏洞可能讓犯罪分子竊取會議數據并攻擊客戶基礎設施。研究人員表示,這些漏洞使得攻擊者可以輸入命令來執行攻擊,從而以最大權限獲得服務器訪問權。

云視頻會議提供商Zoom發布了針對其產品中多個漏洞的補丁,這些漏洞可能讓犯罪分子竊取會議數據并攻擊客戶基礎設施。

這些修補過的漏洞可能會讓攻擊者以最高權限獲得服務器訪問權,并在該公司的網絡上進一步導航,還可能危及Zoom軟件的功能——使受害者無法舉行會議。

1、嚴重漏洞

在上周的安全公告中,Zoom為其產品發布了多個補丁。

CVE-2021-34417

最嚴重的CVSS評分為7.9分,是Web門戶上的網絡代理頁面,例如 Zoom On-??Premise Meeting Connector Controller、Zoom On-Premise Meeting Connector MMR、Zoom On-Premise Recording Connector、 Zoom On-Premise Virtual Room Connector 和 Zoom On-Premise Virtual Room Connector Load Balancer。

被跟蹤為CVE-2021-34417的漏洞無法驗證設置網絡代理密碼請求發送的輸入,這可能導致web門戶管理員進行遠程命令注入。

CVE-2021-34422

第二個被跟蹤的漏洞CVE-2021-34422評分很高,CVSS評分為7.2,并且影響Keybase Client for Windows,該Windows在檢查上傳到團隊文件夾的文件名稱時包含路徑遍歷漏洞。

“惡意用戶可以使用特制的文件名將文件上傳到共享文件夾,這可能允許用戶執行不打算在其主機上使用的應用程序。

如果惡意用戶利用Keybase客戶端的公用文件夾共享特性利用這個問題,就可能導致遠程執行代碼。”Zoom表示。

2、評級較低的漏洞

CVE-2021-34420

發布的另一個重要補丁是針對Zoom Windows安裝可執行簽名繞過,它被評為中等,CVSS得分為4.7。

跟蹤為CVE-2021-34420的漏洞影響版本5.5.4之前的所有Zoom Client for Meetings for Windows。

Zoom指出,“Zoom Client for Meetings for Windows 安裝程序不會驗證擴展名為 .msi、.ps1 和 .bat 的文件的簽名,這可能會導致威脅行為者在受害者的計算機上安裝惡意軟件。”

CVE-2021-34418

Zoom發布的另一個補丁解決了本地Web控制臺中的Pre-auth 空指針崩潰漏洞,該漏洞被跟蹤為CVE-2021-34418,CVSS評分為4.0,評級為中等。

CVE-2021-34419

“Zoom On-Premise Meeting Connector Controller、Zoom On-Premise Meeting Connector MMR、Zoom On-Premise Recording Connector、Zoom On-Premise Virtual Room Connector 和 Zoom On-Premise Virtual Room Connector Load 產品的 Web 控制臺登錄服務Balancer 在進行身份驗證時無法驗證是否發送了 NULL 字節,這可能導致登錄服務崩潰,”Zoom 指出。

該漏洞被跟蹤為CVE-2021-34419,CVSS 評分為3.7,影響 Ubuntu Linux 5.1.0之前的 Zoom Client for Meetings。

“在會議中的屏幕共享過程中向用戶發送遠程控制請求時,存在HTML注入缺陷,這可能使會議參與者成為社會工程攻擊的目標,”Zoom 指出。

CVE-2021-34421

CVE-2021-34421是評分最低的漏洞之一,CVSS評分為3.7,影響Android和iOS的Keybase客戶端。該漏洞適用于5.8.0之前的Android系統和5.8.0之前的iOS系統。

Android和iOS的Keybase客戶端無法刪除用戶發起的爆炸消息,如果接收用戶將聊天會話置于后臺而發送用戶爆炸消息,這可能導致泄露本應從其中刪除的敏感信息。

其他發現

Positive Technologies表示,他們已經在Zoom本地會議、談判和錄音解決方案Zoom Meeting Connector Controller、Zoom Virtual Room Connector、Zoom Recording Connector 等中發現幾個關鍵漏洞(現已修補)。

研究人員Egor Dimitrenko表示,這些漏洞使得攻擊者可以輸入命令來執行攻擊,從而以最大權限獲得服務器訪問權。

CVE-2021-34414

研究人員指出:“在本地模型下分布的軟件的用戶通常是大公司,它們在自己的網絡中部署這些解決方案,以防止數據泄露。”“由于CVE-2021-34414漏洞(CVSS評分為7.2),很可能發生惡意注入。Zoom內部應用程序中報告了該問題,如會議連接器控制器(最高版本4.6)、會議連接器MMR(最高版本4.6)、錄音連接器(最高版本3.8)、虛擬房間連接器(最高版本4.4)和虛擬房間連接器負載均衡器(最高版本2.5)。”

CVE-2021-34415

Positive Technologies 研究人員發現的另一個漏洞是CVE-2021-34415,其CVSS 3.0得分為7.5,這可能導致系統崩潰。該問題在4.6版中得到糾正。

一旦利用這個漏洞,攻擊者可能會破壞軟件的功能,使受影響的組織無法舉行Zoom會議。出現此類漏洞的主要原因是缺乏對用戶數據的充分驗證。

在委托給服務器管理任務的應用程序中,經常會遇到此類漏洞。這種漏洞會導致嚴重的后果,在大多數情況下,它會導致入侵者獲得對公司網絡基礎設施的完全控制。隨著漏洞利用攻擊的增加,在軟件開發期間利用靜態代碼檢測工具可以幫助開發人員及時查找漏洞并修復,增強軟件自身安全性,降低別攻擊的風險。

參讀鏈接:

www.inforisktoday.com/zoom-patche…

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/123751.html

相關文章

  • WAF-UWAFWeb安全防護報告

    摘要:部署地域分布客戶在業務部署區域的選擇上也有不同,從客戶業務部署地域分布來看,主要集中在國內的北京和上海,客戶通常會選擇購買業務部署區域的,也有客戶采用多地域部署以提高業務的可用性,總體來看客戶的需求集中在防御攻擊防攻擊以及滿足合規需求。2021年UWAF累積為各個行業的客戶提供了1117個域名的高質量訪問服務,并提供安全防護,有效的保護了客戶的數據信息與資產安全。2021年Web安全形勢依然...

    ernest.wang 評論0 收藏0
  • 云服務和游戲系統或被輕易入侵!Squirrel Engine漏洞可使黑客執行任意代碼

    摘要:通過這樣做,研究人員發現他們可以他們通過重寫函數指針來劫持程序的控制流,并獲得對的完全控制。因此,發現該漏洞的研究人員高度推薦在項目中使用的維護人員應用可用的修復程序提交,以防止攻擊。 根據分析,rawset和rawget函數允許我們方便地訪問給定類的成員。在這個PoC中,Squirrel 解釋器將解引用空指針和段錯誤,因為_defaultvalues數組還沒有被分配。 攻擊者可...

    CoorChice 評論0 收藏0
  • GitHub Actions安全漏洞可使攻擊繞過代碼審查機制 影響受保護分支

    摘要:危及用戶賬戶的攻擊者,或者只是想繞過這一限制的開發人員,可以簡單地將代碼推送到受保護的分支。表示他們會努力修復此安全漏洞。安全漏洞將軟件置于危險之中。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.m...

    ccj659 評論0 收藏0
  • 網站遭遇DDOS、漏洞等狀態該怎么解決?

    摘要:今天主要分享下網站遭遇漏洞等狀態該怎么解決有需要的朋友可以參考下。針對網站的系統定期進行升級,打補丁修復漏洞,定期對網站進行全面的安全檢測,對網站的腳本木馬或者木馬后門經常進行檢測。 如今,隨著互聯網時代的進步到物聯網的興起,人們生活,出行交通工具,工作處處離不開網絡購物,那息息相關的物品也就離不開各種的網站。因此在各種行業競爭非常激烈的情況下,同行之間雇傭黑客打壓對手,攻擊對方網站,...

    TIGERB 評論0 收藏0

發表評論

0條評論

最新活動
閱讀需要支付1元查看
<