Новые дыры в Zoom позволяют взломать собеседника через отправку сообщений

Новые дыры в Zoom позволяют взломать собеседника через отправку сообщений

В популярном сервисе для видеоконференций Zoom устранили четыре уязвимости, которые можно использовать для взлома пользователей. Эксплуатация подразумевает отправку жертве в чат специально созданных XMPP-сообщений (Extensible Messaging and Presence Protocol), которые позволят выполнить вредоносный код.

Проблемы в безопасности получили диапазон идентификаторов с CVE-2022-22784 по CVE-2022-22787. Наименее опасной бреши присвоили 5,9 балла, а самой серьёзной — 8,1. Баги обнаружил эксперт Google Project Zero Иван Фретрик.

В своём отчёте, который был направлен разработчикам Zoom, Фретрик классифицирует и описывает уязвимости следующим образом:

  • CVE-2022-22784 (8,1 балла по CVSS) — некорректный парсинг XML в клиенте Zoom.
  • CVE-2022-22785 (5,9 балла по CVSS) — некорректно ограниченные cookies сессии.
  • CVE-2022-22786 (7,5 балла по CVSS) — даунгрейд пакетов обновлений в клиенте Zoom для Windows.
  • CVE-2022-22787 (5,9 балла по CVSS) — недостаточная валидация хоста при переключении сервера.

Успешная эксплуатация со стороны злоумышленника позволит ему выполнить ряд действий, среди которых подключение к вредоносному серверу и даже загрузка потенциально опасного обновления.

Фретрик подробно описал найденные проблемы в отчёте «XMPP Stanza Smuggling», уточнив, что условный атакующий может отправить жертве сообщения, которые обработаются так, будто были отправлены с сервера.

Пользователям рекомендуют обновить Zoom до версии 5.10.0, чтобы снизить риски эксплуатации выявленных багов.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Security Vision открывает первый в России Центр Кибербезопасности для детей

4 июня в семейно-досуговом центре «Кидзания» (ТРЦ «Авиапарк») откроется Центр кибербезопасности для детей и подростков. Это первый проект такого рода в России.

Юные посетители Центра смогут в игровой форме решать практические задачи по защите от кибератак и обеспечению сохранности информации и узнают последние тренды в области информационной безопасности. Через специально разработанные обучающие игры и головоломки они на практике потренируются в защите информации от взлома, научатся распознавать фишинговые атаки и противостоять другим опасностям в интернете.

Ребята освоят несколько профессий. Так, в рамках первой «Белый хакер», ребята попробуют себя в роли пентестеров — используя специальные инструменты, попытаются выявить потенциальную уязвимость в одной из организаций Кидзании и предложат свои рекомендации для повышения уровня защиты данных.

В роли «Специалиста центра кибербезопасности» кидзанийцы будут следить за работой компьютерной сети Кидзании из штаба - Центра кибербезопасности. Им предстоит проявить бдительность и максимально быстро выявить источник угрозы, чтобы предотвратить хакерскую атаку. Профессия «Архитектор систем кибербезопасности» позволит юным участникам научиться подбирать оптимальные средства защиты цифровой инфраструктуры для предотвращения возможных киберугроз.

«Мы убеждены, что крайне важно не только делиться последними решениями в сфере ИБ среди специалистов рынка, но и прививать базовые навыки цифровой гигиены подрастающему поколению с самого раннего возраста. Действовать проактивно по отношению к самому дорогому – нашим детям. Все мы понимаем, что дети восприимчивы и тем самым уязвимы. Центр кибербезопасности Security Vision в «Кидзании» станет эффективной и популярной площадкой для обретения важных навыков безопасного поведения в информационной среде», — прокомментировал Руслан Рахметов, генеральный директор Security Vision.

Помимо знаний и навыков в области безопасной работы с информацией, предложенные в Центре кибербезопасности задания помогут детям и подросткам развить логическое мышление и когнитивные способности. Кроме того, игротека позволит им приобрести необходимые знания и навыки для работы в области компьютерной безопасности, понять, чем они хотят заниматься, и определиться с выбором будущей профессии.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru