亚洲中字慕日产2020,大陆极品少妇内射AAAAAA,无码av大香线蕉伊人久久,久久精品国产亚洲av麻豆网站

資訊專欄INFORMATION COLUMN

Zoom漏洞可使攻擊者攔截?cái)?shù)據(jù)攻擊客戶基礎(chǔ)設(shè)施

morgan / 2692人閱讀

摘要:云視頻會(huì)議提供商發(fā)布了針對(duì)其產(chǎn)品中多個(gè)漏洞的補(bǔ)丁,這些漏洞可能讓犯罪分子竊取會(huì)議數(shù)據(jù)并攻擊客戶基礎(chǔ)設(shè)施。研究人員表示,這些漏洞使得攻擊者可以輸入命令來(lái)執(zhí)行攻擊,從而以最大權(quán)限獲得服務(wù)器訪問(wèn)權(quán)。

云視頻會(huì)議提供商Zoom發(fā)布了針對(duì)其產(chǎn)品中多個(gè)漏洞的補(bǔ)丁,這些漏洞可能讓犯罪分子竊取會(huì)議數(shù)據(jù)并攻擊客戶基礎(chǔ)設(shè)施。

這些修補(bǔ)過(guò)的漏洞可能會(huì)讓攻擊者以最高權(quán)限獲得服務(wù)器訪問(wèn)權(quán),并在該公司的網(wǎng)絡(luò)上進(jìn)一步導(dǎo)航,還可能危及Zoom軟件的功能——使受害者無(wú)法舉行會(huì)議。

1、嚴(yán)重漏洞

在上周的安全公告中,Zoom為其產(chǎn)品發(fā)布了多個(gè)補(bǔ)丁。

CVE-2021-34417

最嚴(yán)重的CVSS評(píng)分為7.9分,是Web門戶上的網(wǎng)絡(luò)代理頁(yè)面,例如 Zoom On-??Premise Meeting Connector Controller、Zoom On-Premise Meeting Connector MMR、Zoom On-Premise Recording Connector、 Zoom On-Premise Virtual Room Connector 和 Zoom On-Premise Virtual Room Connector Load Balancer。

被跟蹤為CVE-2021-34417的漏洞無(wú)法驗(yàn)證設(shè)置網(wǎng)絡(luò)代理密碼請(qǐng)求發(fā)送的輸入,這可能導(dǎo)致web門戶管理員進(jìn)行遠(yuǎn)程命令注入。

CVE-2021-34422

第二個(gè)被跟蹤的漏洞CVE-2021-34422評(píng)分很高,CVSS評(píng)分為7.2,并且影響Keybase Client for Windows,該Windows在檢查上傳到團(tuán)隊(duì)文件夾的文件名稱時(shí)包含路徑遍歷漏洞。

“惡意用戶可以使用特制的文件名將文件上傳到共享文件夾,這可能允許用戶執(zhí)行不打算在其主機(jī)上使用的應(yīng)用程序。

如果惡意用戶利用Keybase客戶端的公用文件夾共享特性利用這個(gè)問(wèn)題,就可能導(dǎo)致遠(yuǎn)程執(zhí)行代碼?!盳oom表示。

2、評(píng)級(jí)較低的漏洞

CVE-2021-34420

發(fā)布的另一個(gè)重要補(bǔ)丁是針對(duì)Zoom Windows安裝可執(zhí)行簽名繞過(guò),它被評(píng)為中等,CVSS得分為4.7。

跟蹤為CVE-2021-34420的漏洞影響版本5.5.4之前的所有Zoom Client for Meetings for Windows。

Zoom指出,“Zoom Client for Meetings for Windows 安裝程序不會(huì)驗(yàn)證擴(kuò)展名為 .msi、.ps1 和 .bat 的文件的簽名,這可能會(huì)導(dǎo)致威脅行為者在受害者的計(jì)算機(jī)上安裝惡意軟件?!?/p>

CVE-2021-34418

Zoom發(fā)布的另一個(gè)補(bǔ)丁解決了本地Web控制臺(tái)中的Pre-auth 空指針崩潰漏洞,該漏洞被跟蹤為CVE-2021-34418,CVSS評(píng)分為4.0,評(píng)級(jí)為中等。

CVE-2021-34419

“Zoom On-Premise Meeting Connector Controller、Zoom On-Premise Meeting Connector MMR、Zoom On-Premise Recording Connector、Zoom On-Premise Virtual Room Connector 和 Zoom On-Premise Virtual Room Connector Load 產(chǎn)品的 Web 控制臺(tái)登錄服務(wù)Balancer 在進(jìn)行身份驗(yàn)證時(shí)無(wú)法驗(yàn)證是否發(fā)送了 NULL 字節(jié),這可能導(dǎo)致登錄服務(wù)崩潰,”Zoom 指出。

該漏洞被跟蹤為CVE-2021-34419,CVSS 評(píng)分為3.7,影響 Ubuntu Linux 5.1.0之前的 Zoom Client for Meetings。

“在會(huì)議中的屏幕共享過(guò)程中向用戶發(fā)送遠(yuǎn)程控制請(qǐng)求時(shí),存在HTML注入缺陷,這可能使會(huì)議參與者成為社會(huì)工程攻擊的目標(biāo),”Zoom 指出。

CVE-2021-34421

CVE-2021-34421是評(píng)分最低的漏洞之一,CVSS評(píng)分為3.7,影響Android和iOS的Keybase客戶端。該漏洞適用于5.8.0之前的Android系統(tǒng)和5.8.0之前的iOS系統(tǒng)。

Android和iOS的Keybase客戶端無(wú)法刪除用戶發(fā)起的爆炸消息,如果接收用戶將聊天會(huì)話置于后臺(tái)而發(fā)送用戶爆炸消息,這可能導(dǎo)致泄露本應(yīng)從其中刪除的敏感信息。

其他發(fā)現(xiàn)

Positive Technologies表示,他們已經(jīng)在Zoom本地會(huì)議、談判和錄音解決方案Zoom Meeting Connector Controller、Zoom Virtual Room Connector、Zoom Recording Connector 等中發(fā)現(xiàn)幾個(gè)關(guān)鍵漏洞(現(xiàn)已修補(bǔ))。

研究人員Egor Dimitrenko表示,這些漏洞使得攻擊者可以輸入命令來(lái)執(zhí)行攻擊,從而以最大權(quán)限獲得服務(wù)器訪問(wèn)權(quán)。

CVE-2021-34414

研究人員指出:“在本地模型下分布的軟件的用戶通常是大公司,它們?cè)谧约旱木W(wǎng)絡(luò)中部署這些解決方案,以防止數(shù)據(jù)泄露?!薄坝捎贑VE-2021-34414漏洞(CVSS評(píng)分為7.2),很可能發(fā)生惡意注入。Zoom內(nèi)部應(yīng)用程序中報(bào)告了該問(wèn)題,如會(huì)議連接器控制器(最高版本4.6)、會(huì)議連接器MMR(最高版本4.6)、錄音連接器(最高版本3.8)、虛擬房間連接器(最高版本4.4)和虛擬房間連接器負(fù)載均衡器(最高版本2.5)。”

CVE-2021-34415

Positive Technologies 研究人員發(fā)現(xiàn)的另一個(gè)漏洞是CVE-2021-34415,其CVSS 3.0得分為7.5,這可能導(dǎo)致系統(tǒng)崩潰。該問(wèn)題在4.6版中得到糾正。

一旦利用這個(gè)漏洞,攻擊者可能會(huì)破壞軟件的功能,使受影響的組織無(wú)法舉行Zoom會(huì)議。出現(xiàn)此類漏洞的主要原因是缺乏對(duì)用戶數(shù)據(jù)的充分驗(yàn)證。

在委托給服務(wù)器管理任務(wù)的應(yīng)用程序中,經(jīng)常會(huì)遇到此類漏洞。這種漏洞會(huì)導(dǎo)致嚴(yán)重的后果,在大多數(shù)情況下,它會(huì)導(dǎo)致入侵者獲得對(duì)公司網(wǎng)絡(luò)基礎(chǔ)設(shè)施的完全控制。隨著漏洞利用攻擊的增加,在軟件開發(fā)期間利用靜態(tài)代碼檢測(cè)工具可以幫助開發(fā)人員及時(shí)查找漏洞并修復(fù),增強(qiáng)軟件自身安全性,降低別攻擊的風(fēng)險(xiǎn)。

參讀鏈接:

www.inforisktoday.com/zoom-patche…

文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/123751.html

相關(guān)文章

  • WAF-UWAFWeb安全防護(hù)報(bào)告

    摘要:部署地域分布客戶在業(yè)務(wù)部署區(qū)域的選擇上也有不同,從客戶業(yè)務(wù)部署地域分布來(lái)看,主要集中在國(guó)內(nèi)的北京和上海,客戶通常會(huì)選擇購(gòu)買業(yè)務(wù)部署區(qū)域的,也有客戶采用多地域部署以提高業(yè)務(wù)的可用性,總體來(lái)看客戶的需求集中在防御攻擊防攻擊以及滿足合規(guī)需求。2021年UWAF累積為各個(gè)行業(yè)的客戶提供了1117個(gè)域名的高質(zhì)量訪問(wèn)服務(wù),并提供安全防護(hù),有效的保護(hù)了客戶的數(shù)據(jù)信息與資產(chǎn)安全。2021年Web安全形勢(shì)依然...

    ernest.wang 評(píng)論0 收藏0

  • 云服務(wù)和游戲系統(tǒng)或被輕易入侵!Squirrel Engine漏洞可使黑客執(zhí)行任意代碼

    摘要:通過(guò)這樣做,研究人員發(fā)現(xiàn)他們可以他們通過(guò)重寫函數(shù)指針來(lái)劫持程序的控制流,并獲得對(duì)的完全控制。因此,發(fā)現(xiàn)該漏洞的研究人員高度推薦在項(xiàng)目中使用的維護(hù)人員應(yīng)用可用的修復(fù)程序提交,以防止攻擊。 根據(jù)分析,rawset和rawget函數(shù)允許我們方便地訪問(wèn)給定類的成員。在這個(gè)PoC中,Squirrel 解釋器將解引用空指針和段錯(cuò)誤,因?yàn)開defaultvalues數(shù)組還沒有被分配。 攻擊者可...

    CoorChice 評(píng)論0 收藏0

  • GitHub Actions安全漏洞可使攻擊繞過(guò)代碼審查機(jī)制 影響受保護(hù)分支

    摘要:危及用戶賬戶的攻擊者,或者只是想繞過(guò)這一限制的開發(fā)人員,可以簡(jiǎn)單地將代碼推送到受保護(hù)的分支。表示他們會(huì)努力修復(fù)此安全漏洞。安全漏洞將軟件置于危險(xiǎn)之中。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.m...

    ccj659 評(píng)論0 收藏0

  • 網(wǎng)站遭遇DDOS、漏洞等狀態(tài)該怎么解決?

    摘要:今天主要分享下網(wǎng)站遭遇漏洞等狀態(tài)該怎么解決有需要的朋友可以參考下。針對(duì)網(wǎng)站的系統(tǒng)定期進(jìn)行升級(jí),打補(bǔ)丁修復(fù)漏洞,定期對(duì)網(wǎng)站進(jìn)行全面的安全檢測(cè),對(duì)網(wǎng)站的腳本木馬或者木馬后門經(jīng)常進(jìn)行檢測(cè)。 如今,隨著互聯(lián)網(wǎng)時(shí)代的進(jìn)步到物聯(lián)網(wǎng)的興起,人們生活,出行交通工具,工作處處離不開網(wǎng)絡(luò)購(gòu)物,那息息相關(guān)的物品也就離不開各種的網(wǎng)站。因此在各種行業(yè)競(jìng)爭(zhēng)非常激烈的情況下,同行之間雇傭黑客打壓對(duì)手,攻擊對(duì)方網(wǎng)站,...

    TIGERB 評(píng)論0 收藏0

發(fā)表評(píng)論

0條評(píng)論

閱讀需要支付1元查看
<