據(jù)Security affairs消息，Google Project Zero安全研究人員近日發(fā)現(xiàn)視頻會(huì)議軟件Zoom存在兩個(gè)重要漏洞，可能會(huì)讓用戶遭受攻擊。

這兩個(gè)漏洞會(huì)影響Windows、macOS、Linux、iOS 和 Android 平臺(tái)上Zoom客戶端，這意味著幾乎所有的用戶都處于漏洞的威脅之中。

第一個(gè)漏洞編號(hào)為CVE-2021-34423，是一個(gè)高嚴(yán)重性的緩沖區(qū)溢出漏洞，CVSS 基本得分為7.3分。第二個(gè)漏洞編號(hào)為CVE-2021-34424，是一個(gè)高嚴(yán)重性的內(nèi)存損壞漏洞，CVSS 基本得分也是7.3分。

目前，Google已經(jīng)將這兩個(gè)漏洞已經(jīng)分享給Zoom。Zoom 發(fā)布的安全公告承認(rèn)了這兩個(gè)漏洞，并表示，“部分產(chǎn)品發(fā)現(xiàn)了一個(gè)緩沖區(qū)溢出漏洞和內(nèi)存損壞漏洞，這可能會(huì)讓應(yīng)用程序或服務(wù)崩潰，攻擊者可利用這些漏洞執(zhí)行任意代碼，或暴露進(jìn)程的內(nèi)容狀態(tài)等。”

以下是受影響的 Zoom 產(chǎn)品列表：

• 5.8.4 版之前的 Zoom 會(huì)議客戶端(適用于 Android、iOS、Linux、macOS 和 Windows)
• 5.8.1 版之前的用于 Blackberry 會(huì)議的 Zoom 客戶端(適用于 Android 和 iOS)
• 5.8.4 版之前的用于會(huì)議的 Zoom Client for Intune(適用于 Android 和 iOS)
• 適用于 Chrome 操作系統(tǒng)的 Zoom Client for Meetings 5​​.0.1 版之前
• 5.8.3 版之前的用于會(huì)議室的 Zoom Rooms(適用于 Android、AndroidBali、macOS 和 Windows)
• 版本 5.8.3 之前的 Zoom Rooms 控制器(適用于 Android、iOS 和 Windows)

值得一提的是，就在11月29日，Zoom宣布推出自動(dòng)更新功能，旨在簡(jiǎn)化桌面客戶端的更新過程，目前僅適用于Windows和macOS，移動(dòng)設(shè)備可以通過各自應(yīng)用商店的內(nèi)置自動(dòng)更新程序進(jìn)行更新。

Zoom公司的隱私&安全技術(shù)產(chǎn)品經(jīng)理稱，“對(duì)于個(gè)人用戶來說，自動(dòng)更新功能將默認(rèn)啟動(dòng)，如果想要關(guān)閉這一功能，用戶可以在首次安裝或首次更新后選擇退出其桌面客戶端的自動(dòng)更新。”

此外，Zoom 用戶還可以自主選擇更新的頻率：如果選擇高頻率更新，那么將會(huì)立即安裝最新的軟件和功能;如果選擇低頻率更新，那么將會(huì)直接降低更新次數(shù)，且更專注于最大限度提高穩(wěn)定性。

雖然該平臺(tái)在此之前還向企業(yè)用戶提供了自動(dòng)更新，但此次更新“將目標(biāo)受眾擴(kuò)大到包括非企業(yè)組織成員的所有個(gè)人用戶”。