Praca zdalna została z nami na dłużej niż się tego spodziewaliśmy. Tym samym liczba narzędzi, które używamy na naszym komputerze codziennie, znacznie się powiększyła. Przede wszystkim o wszelkiego rodzaju aplikacje do zdalnej pracy i komunikacji w zespole. Można śmiało powiedzieć, że jest kilka takich, które dominują na rynku i jedną z nich jest Zoom. Przez wielu kochany, ale też przez wielu unikany z uwagi na swoją ponurą przeszłość z krytycznymi lukami bezpieczeństwa, która wraca jak bumerang.
Mianowicie, kilka dni temu dwie krytyczne podatności zostały wykryte w środowisku Zoom, które narażają użytkowników na zdalne wykonanie kodu czy wstrzykiwanie komend do witryny webowej.
Jednak teraz Zoom podszedł do tego bardziej profesjonalnie. Opisał wszystko w swoim biuletynie bezpieczeństwa i wydał niezbędne poprawki.
Pierwsza podatność – CVE-2021-34417, dotyczy konektorów Zoom instalowanych on-premise, czyli na stacjach roboczych użytkowników. Zoom tłumaczy podatność w następujący sposób:
„Strona sieciowego serwera proxy w portalu internetowym dla podatnych produktów (wymienionych poniżej) nie sprawdza poprawności danych wejściowych wysłanych w żądaniach ustawienia hasła serwera proxy. Może to prowadzić do zdalnego wstrzykiwania poleceń przez administratora portalu internetowego”.
Bazowy wynik tej luki to CVSS 7,9 głównie dlatego, że wpływa ona na wiele komponentów oprogramowania Zoom: Zoom On-Premise Meeting Connector Controller, Zoom On-Premise Meeting Connector MMR, Zoom On-Premise Recording Connector, Zoom On-Premise Virtual Room Connector.
Wydano również drugi biuletyn dla krytycznej podatności CVE-2021-34422, błędu przechodzenia przez ścieżkę, który ma wpływ na popularny Keybase Client for Windows.
„Klient Keybase dla systemu Windows przed wersją 5.7.0 zawiera lukę w przechodzeniu ścieżki podczas sprawdzania nazwy pliku przesłanego do folderu zespołu. Złośliwy użytkownik może przesłać plik do folderu współdzielonego ze specjalnie spreparowaną nazwą pliku, która może pozwolić na uruchomienie niezaufanej lub złośliwej aplikacji” – pisze Zoom.
Jeśli złośliwy użytkownik wykorzysta ten problem wraz z funkcją udostępniania folderów publicznych klienta Keybase, może to doprowadzić do zdalnego wykonania kodu.
Problem został rozwiązany w wersji 5.7.0 Keybase Client.
Zespół ds. bezpieczeństwa Zoom opublikował również poprawki do błędu średniego ryzyka (CVE-2021-34420) w instalatorze Zoom Client for Meetings. „Instalator Zoom Client for Meetings przed wersją 5.5.4 nie weryfikuje prawidłowo podpisu plików z rozszerzeniami .msi, .ps1 i .bat. Może to doprowadzić do tego, że złośliwy aktor zainstaluje w kontekście aplikacji złośliwe oprogramowanie na komputerze klienta” – ostrzegła firma.
Oprogramowanie Zoom nie posiada mechanizmu automatycznej aktualizacji, więc wszystkim użytkownikom jak najszybciej zalecamy kliknięcie w przycisk „Check for updates” i podniesienie wersji.
Wybrany post: Kolejne krytyczne podatności w aplikacjach Zoom
