Zoom phát hành bản vá cho lỗ hổng bảo mật nghiêm trọng

14:00 | 28/10/2022 | LỖ HỔNG ATTT

Ứng dụng Zoom vừa phát hành bản vá cho một lỗ hổng nghiêm trọng, có thể khiến người dùng dễ bị tin tặc tấn công.

Zoom phát hành bản vá cho lỗ hổng bảo mật nghiêm trọng

Cụ thể, lỗ hổng nghiêm trọng có mã định danh CVE-2022-28763, với điểm CVSS 8,8 được ghi nhận là một lỗ hổng liên quan tới việc phân tích cú pháp URL không đúng trong Zoom Clients.

Lỗ hổng này ảnh hưởng đến các phiên bản Zoom Client trên các thiết bị Android, iOS, Linux, macOS và Windows tồn tại trong các phiên bản trước 5.12.2; Zoom VDI Windows Meeting Clients với các phiên bản trước 5.12.2; Zoom Rooms for Conference Room dành cho Android, iOS, Linux, macOS và Windows với các phiên bản trước 5.12.2.

Zoom cho biết: “Ứng dụng Zoom Client trước phiên bản 5.12.2 dễ bị tổn thương bởi lỗ hổng phân tích cú pháp URL. Nếu một URL Zoom độc hại được mở, liên kết độc hại có thể hướng người dùng kết nối với một địa chỉ mạng tùy ý, dẫn đến các cuộc tấn công bổ sung bao gồm cả việc chiếm quyền điều khiển".

Qua đó, tin tặc có thể khai thác lỗ hổng này bằng cách sử dụng URL cuộc họp Zoom được chế tạo đặc biệt để chuyển hướng nạn nhân đến các trang web tùy ý.

Trước đó, Zoom đã khắc phục hai lỗ hổng bảo mật định danh CVE-2022-28762 và CVE-2022-28761 có thể kết nối và điều khiển các tiện ích mở rộng đang chạy trong ứng dụng Zoom nhằm ngăn người tham gia nhận âm thanh và video gây gián đoạn cuộc họp.

Người dùng ứng dụng Zoom cần khẩn trương cập nhật lên phiên bản 5.12.2 mới nhất để giảm thiểu mọi rủi ro tiềm ẩn từ việc khai thác các lỗ hổng.

M.H

‹ › ×

Tin liên quan

Hướng dẫn học trực tuyến an toàn với Zoom, Teams, Trans, Jitsi

09:00 | 23/11/2021

Bản mềm của cẩm nang “Hướng dẫn sử dụng an toàn các phần mềm, công cụ dạy và học trực tuyến” hiện đã được Cục An toàn thông tin đăng tải trên Cổng không gian mạng quốc gia tại địa chỉ https://khonggianmang.vn. Một nội dung trọng tâm của cẩm nang là phần hướng dẫn sử dụng các phần mềm dạy, học trực tuyến Zoom, Microsoft Teams, Google Meet, Trans, Zavi, Jitsi.

Phát hiện 3 lỗ hổng của Zoom trên macOS và Windows

15:00 | 24/11/2022

Ba lỗ hổng mới được phát hiện trong Zoom có thể cho phép kẻ tấn công thực thi mã tùy ý và leo thang đặc quyền đối với người dùng root hoặc SYSTEM.

An toàn và bí mật riêng tư trong ứng dụng truyền hình hội nghị Zoom

10:00 | 27/07/2020

Trong những năm gần đây, đã có nhiều tiến bộ về các nền tảng hội nghị truyền hình như Skype, Google Hangouts và WhatsApp, khiến dễ dàng có được tương tác giữa hai điểm dù cho ở bất kỳ đâu trên toàn cầu. Một sản phẩm phần mềm hội nghị truyền hình đang được sử dụng rộng rãi ngày nay là phần mềm hội nghị mang tên Zoom Meetings của hãng Zoom Video Communications.

Zoom phát hành bản vá hàng loạt lỗ hổng nghiêm trọng

15:00 | 23/06/2023

Mới đây, các chuyên gia đã phát hiện một loạt các lỗ hổng nghiêm trọng trong Zoom - phần mềm gọi video nổi tiếng của Zoom Video Communications.

Zoom làm mới chương trình trao thưởng nhằm cải thiện tính bảo mật của dịch vụ

23:00 | 30/04/2020

Trung tuần tháng 4/2020, công ty ứng dụng hội nghị truyền hình Zoom đã công bố kế hoạch cải tiến chương trình trao thưởng cho những phát hiện lỗi của Zoom, như là một phần của kế hoạch dài hạn để cải thiện mức độ bảo mật của dịch vụ này.

Tin cùng chuyên mục

Phân tích kỹ thuật lừa đảo mới nhằm phát tán phần mềm độc hại trên GitHub

09:00 | 28/04/2024

Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.

Chiến dịch phần mềm Sign1 đã xâm phạm hơn 39.000 trang web WordPress

09:00 | 02/04/2024

Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.

Tin tặc Earth Krahang của Trung Quốc xâm nhập 70 tổ chức tại 23 quốc gia

13:00 | 28/03/2024

Một chiến dịch tấn công tinh vi được cho là do nhóm tin tặc APT của Trung Quốc có tên Earth Krahang thực hiện, chúng đã xâm nhập 70 tổ chức tại 23 quốc gia và nhắm mục tiêu vào ít nhất 116 tổ chức của 45 quốc gia khác trên thế giới.

Khám phá Trojan mới của BlueNoroff với mục tiêu tấn công người dùng macOS

17:00 | 22/12/2023

Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.