对流行的视频会议解决方案Zoom的零点击攻击面的探索已经产生了两个以前未公开的安全漏洞,这些漏洞可能被利用来破坏服务,执行恶意代码,甚至泄漏其内存的任意区域。
Google Project Zero的Natalie Silvanovich去年发现并报告了这两个漏洞,她说这些问题影响了Zoom客户端和多媒体路由器(MMR)服务器,这些服务器在内部部署中的客户端之间传输音频和视频内容。
此后,Zoom在2021年11月24日发布的更新中解决了这些弱点。
零点击攻击的目标是悄悄地控制受害者的设备,而无需用户进行任何类型的交互,例如单击链接。
虽然漏洞的具体情况会因被利用漏洞的性质而异,但零点击黑客的一个关键特征是它们能够不留下恶意活动的痕迹,这使得它们很难被检测到。
Project Zero发现的两个缺陷如下:
- CVE-2021-34423(CVSS分数:9.8)– 一个缓冲区溢出漏洞,可用于使服务或应用程序崩溃,或执行任意代码。
- CVE-2021-34424(CVSS分数:7.5)– 一种进程内存暴露漏洞,可用于潜在地洞察产品内存的任意区域。
通过分析用于通过IP网络传输音频和视频的RTP(实时传输协议)流量,Silvanovich发现可以通过发送格式错误的聊天消息来操纵支持读取不同数据类型的缓冲区的内容,从而导致客户端和MMR服务器崩溃。
此外,由于缺乏用于确定字符串结尾的NULL检查,因此可以通过 Web 浏览器加入 Zoom 会议来从内存中泄漏数据。
研究人员还将内存损坏缺陷归因于Zoom未能启用ASLR,即地址空间布局随机化,这是一种旨在增加执行缓冲区溢出攻击难度的安全机制。
"Zoom MMR过程中缺乏ASLR大大增加了攻击者可能破坏它的风险,"Silvanovich说。"ASLR可以说是防止利用内存损坏的最重要缓解措施,大多数其他缓解措施都依赖于它在某种程度上有效。在绝大多数软件中,没有充分的理由禁用它。
虽然大多数视频会议系统使用开源库(如WebRTC或PJSIP)来实现多媒体通信,但Project Zero指出Zoom使用专有格式和协议以及其高昂的许可费(近1,500美元)是安全研究的障碍。
"闭源软件带来了独特的安全挑战,Zoom可以做更多的事情来使他们的平台可供安全研究人员和其他希望对其进行评估的人访问,"Silvanovich说。"虽然 Zoom 安全团队帮助我访问和配置服务器软件,但目前尚不清楚其他研究人员是否可以获得支持,而且许可该软件仍然很昂贵。
本文暂时没有评论,来添加一个吧(●'◡'●)