抖圈为赌而生

首页 > 宁静研究 > 宁静通报 > 宁静通告

Zoom 远程代码执行0 day漏洞

宣布时间 2021-04-12

0x00 漏洞概述

CVE ID		时间	2021-04-12
类型	RCE	等级	高危
远程利用	是	影响范围
PoC/EXP		在野利用

0x01 漏洞详情

Zoom 是一个简单易用的在线视频会议软件,它提供了视频通信、音频通信、屏幕共享体验以及在线群组聊天功效。

Pwn2Own竞赛是由白帽网络宁静专业人员和团队加入，以竞争发现流行软件和服务中的错误的竞赛。

2021年04月07日，两名荷兰白帽宁静专家在加入年度计算机黑客大赛Pwn2Own时在Zoom中发现了一个远程代码执行（RCE）漏洞，此漏洞结合了三个漏洞攻击链来控制远程系统，乐成利用此漏洞的攻击者能够在LAN、WAN或Internet上的远程计算机上执行代码。此外，该漏洞的利用只需用户进行一次Zoom通话，而无需用户交互。

Pwn2Own组织已经在twitter上宣布了该漏洞的gif应用演示，通过在运行Zoom的系统上打开计算器Calc.exe。

影响范围

Windows版Zoom

Mac版Zoom

（iOS及Android目前尚未测试，浏览器版不受影响。）

0x02 处置建议

由于Zoom还没有时间修复此漏洞，因此该漏洞的具体技术细节仍在保密中。目前，只有两名宁静专家和Zoom知道该漏洞的事情原理，建议关注Zoom官方宣布的宁静更新。

下载链接：

https://www.zoom.us/download

0x03 参考链接

https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/04/zoom-zero-day-discovery-makes-calls-safer-hackers-200000-richer/

https://www.zdnet.com/article/critical-zoom-vulnerability-triggers-remote-code-execution-without-user-input/#ftag=RSSbaffb68

https://twitter.com/i/status/1379855435730149378

0x04 时间线

2021-04-07 Keuper和Alkemade发现漏洞

2021-04-12 VSRC宣布宁静通告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 抖圈为赌而生版权所有京ICP备05032414号京公网安备11010802024551号