Zoom上周修补会议产品2项漏洞,包括1个高风险的程序代码执行漏洞,影响ZoomPC机、手机版会议软件Client for Meetings及其他产品。
这两个漏洞是由Google安全研究小组Project Zero研究人员Natalie Silvanovich通报。其中CVE-2021-34424为一高风险的缓冲溢出漏洞,CVSS 3.1风险值7.3,攻击者可能导致应用程序或服务宕掉,或是利用该漏洞执行任意程序代码。
CVE-2021-34423属于中度风险的内存泄露漏洞,可能导致用户端行程内存状态暴露,导致攻击者得以读取Zoom应用程序内存的任意区块。
同时受到这2项漏洞影响的产品,包括许多人在家工作或是和友人联系常用的Zoom Client for Meetings 5.8.4以前的版本,涵盖Windows、macOS、Linux、Android及iOS版。较小平台版本也受影响,包括Zoom Client for Meetings for Chrome OS 5.0.1版本以前。其他还包括Zoom Rooms for Conference Room(Windows、macOS、Linux、Android及iOS版)、Zoom Meeting SDK for Android,iOS,Windows及macOS、Controllers for Zoom Rooms (for Android, iOS, and Windows)、Zoom VDI、本地部署版Zoom On-Premise Meetings Connector、Zoom On-Premise Virtual Room Connector及Zoom On-Premise Recording Connector等。
Zoom已经针对受影响的产品发布更新版,包括Zoom Client for Meetings 5.8.4、Zoom Rooms for Conference Room 5.8.3等。