В функции совместного использования экрана Zoom обнаружена уязвимость

В функции совместного использования экрана Zoom обнаружена уязвимость

Проблема позволяет раскрыть конфиденциальную информацию пользователей другим участникам звонка.

Исследователи безопасности Майкл Страметц (Michael Strametz) и Маттиас Диг (Matthias Deeg) из компании SySS обнаружили уязвимость (CVE-2021-28133) функции совместного использования экрана Zoom, из-за которой конфиденциальная информация пользователей может быть передана другим участникам звонка.

Обнаруженная проблема позволяет выявлять содержимое приложений, которые не используются совместно, а лишь на короткое время, затрудняя эксплуатацию уязвимости в реальных атаках. Функция совместного использования экрана в Zoom позволяет пользователям коллективно использовать весь рабочий стол или экран телефона или ограничить совместное использование одним или несколькими конкретными приложениями или частью экрана. Проблема возникает из-за того, что второе приложение, запущенное поверх уже совместно используемого приложения, может раскрыть его содержимое в течение короткого периода времени.

«Когда пользователь Zoom предоставляет доступ к определенному окну приложения с помощью функции «поделиться экраном», другие участники встречи могут на короткое время увидеть содержимое других окон приложений», — отметили исследователи.

Эксперты обнаружили проблему в версиях Zoom 5.4.3 и 5.5.4 для ОС Windows и Linux и сообщили компании о своих находках 2 декабря 2020 года. С тех пор прошло уже три месяца, однако компания не выпустила исправление для данной уязвимости. Предположительно, это может быть связано со сложностью ее эксплуатации в реальных атаках.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!