Zoom согласился выплатить истцам $85 млн из-за проблем с безопасностью

Zoom согласился выплатить истцам $85 млн из-за проблем с безопасностью

Zoom согласился выплатить истцам $85 млн из-за проблем с безопасностью

Сервис для видеоконференций Zoom согласился выплатить 85 миллионов долларов в рамках судебных разбирательств. Напомним, что коллективный иск обвиняет компанию в неправомерном обращении с пользовательскими данными, ведь известно, что Zoom через сторонний софт делился информацией с различными цифровыми платформами.

Такие условия оговаривались (PDF) на выходных, и теперь все ждут решение суда. Владельцы Zoom столкнулись с рядом исков с марта по май 2020 года, а в итоге претензии объединили в коллективном исковом заявлении.

В частности, истцы отмечали не совсем порядочные методы Zoom — сервис вводил пользователей в заблуждение относительно своих возможностей шифрования. Более того, также был зафиксирован обмен данными пользователей с третьими лицами, хотя сами пользователи не давали согласие на это.

По словам стороны истцов, сервис для видеоконференций предлагал настолько плохие настройки безопасности и конфиденциальности, что это в итоге привело к атакам, известным как «бомбардировки Zoom» (Zoom bombing). Стоит отметить, что позже разработчики добавили новые функции, обеспечивающие дополнительную безопасность онлайн-встреч.

Упомянутые выше 85 миллионов долларов, если суд одобрит их выплату, будут направлены на частичное возмещение оплаченных пострадавшими пользователями подписок. К слову, Zoom заработал на этих самых подписках $1,3 миллиарда.

В марте прошлого года мы писали о баге Zoom, который мог случайно выдать конфиденциальные данные пользователей собеседникам. Уже в апреле киберпреступники, уловив тенденцию, стали подсовывать жертвам вредоносный криптомайнер вместо установочного файла Zoom.

А в июне стало известно о двух критических уязвимостях в Zoom, позволяющих взломать системы пользователей.

WinRAR снова чинит опасную дыру: архив мог привести к переполнению памяти

RARLAB выпустила WinRAR 7.23 и закрыла уязвимость CVE-2026-14191, связанную с обработкой восстановительных томов RAR5. Проблема затрагивает WinRAR, RAR и UnRAR до версии 7.23. Подтверждённых кибератак пока нет, но расслабляться всё равно рано.

Ошибка находится в парсере файлов .rev. WinRAR неправильно рассчитывал размер внутреннего списка по первому .rev-файлу, а затем доверял значениям из следующих файлов набора.

Проверки на соответствие реальному размеру не было, из-за чего специально подготовленный архив мог записать данные за пределы буфера.

Итог — переполнение буфера, повреждение памяти и потенциальная возможность для дальнейшей атаки. В лучшем случае приложение просто упадет. В худшем — злоумышленник попробует использовать сбой для выполнения вредоносного кода.

Для срабатывания уязвимости нужно действие пользователя: жертва должна запустить проверку или восстановление вредоносного архива. Но это как раз тот сценарий, который для архиваторов выглядит вполне буднично.

Уязвимость особенно неприятна из-за популярности WinRAR. Архиватор установлен на огромном количестве компьютеров, а такие программы злоумышленники любят: пользователи открывают архивы регулярно и часто без особых подозрений. Тем более что другие баги WinRAR уже активно эксплуатировались в атаках в 2025 году.

В версии 7.23 RARLAB также усилила обработку символических ссылок при распаковке и обновила встроенную библиотеку 7-Zip, чтобы подтянуть исправления из основного проекта. При этом UnRAR.dll не обрабатывает recovery-volume файлы, поэтому именно этот компонент неуязвим к CVE-2026-14191.

Пользователям следует обновиться до WinRAR 7.23 как можно скорее. До установки патча лучше не запускать проверку и восстановление .rev-наборов из непроверенных источников и в целом осторожнее относиться к архивам от неизвестных отправителей.

RSS: Новости на портале Anti-Malware.ru