思科安全研究团队Talos Intelligence发现Zoom两项安全漏洞,可能导致攻击者在受害计算机上执行任意程序代码,或者结合其他漏洞。在思科团队的通知下,Zoom已经完成修补。
Zoom的通话功能是跑在XMPP标准上,并以其他扩展功能增加消息丰富度,而二项漏洞都是和扩展功能有关,一是支持包含GIF动画档,二是支持包含程序代码片段。
第一项漏洞CVE-2020-6109为一项路径穿越(path traversal)漏洞,出在Zoom用户端处理包含GIF图片文件的消息过程中。Zoom原本允许使用来自Giphy(现为脸书买下)服务器的动画图片文件,为消息加入效果,但在本漏洞中,却让Zoom接收任何服务器的图片文件。这让黑客对单一用户或目标群组发送恶意消息触发漏洞,造成任意档写入而引发任意程序代码执行,结果为泄露信息。
在CVE-2020-6109中,攻击者发送的文件可以.avif为文件扩展名,但内容可能是执行文件或脚本程序,协助开采其他漏洞。CVE-2020-6109 CVSS 3.0风险评分为8.5。
另一个漏洞编号CVE-2020-6110,则发生在Zoom用户端处理有共享程序代码片段(code snippet)的消息的过程中。Zoom分享程序代码片段时会是以压缩文件ZIP进行。不同于普通ZIP档,CVE-2020-6110下,ZIP接到的ZIP档若为共享程序代码片段,会自动解压缩以便预览,而未验证ZIP档的内容文件。这使得攻击者得以植入任意二进制档,而在目标计算机上执行。而路径穿越问题,让这个ZIP档可以在原本应有的目录以外写入文件,进而开采其他漏洞,但研究人员指出,后者攻击需要用户有动作。CVE-2020-6110 CVSS 3.0风险评分为8.0。
两项漏洞都影响Zoom用户端4.6.10,而CVE-2020-6110还另外影响4.6.11版,包括Windows、macOS及Linux版本。CVE-2020-6109 CVSS 3.0风险评分为8.5,而在Talos Intelligence通报后,Zoom已经发布新版4.6.12版进行解决。