Zoom’da Birden Fazla Güvenlik Açığı Keşfedildi

Zoom’un güvenlik açıklarını açıklayan ve bulgularını DEFCON 2020’de sunan güvenlik araştırmacısı Mazin Ahmed tüm güvenlik açıklarının 5.2.4 sürümüyle düzeltildiğini belirtti.

Ahmed, Linux için Zoom Launcher ile bir saldırganın “zoom” yürütülebilir dosyasını çalıştırma biçiminde yetkisiz herhangi bir yazılımı çalıştırmasına izin verebilecek güvenlik açığını keşfetti. Zoom ile ilişkili etki alanlarını araştırmak için bir güvenlik açığı tespit platformu FullHunt.io kullandı.

Analiz sırasında, Oturum Açma Kimlik Bilgilerini numaralandırmak için daha büyük bir saldırıya sebep olabilecek bir Kerberos hizmetinin Zoom tarafından ifşa edildiğini gözlemledi. Diğer bir güvenlik açığı, GIF’i PNG’ye dönüştüren Zoom üzerindeki görüntü dönüştürmesidir, görüntü dönüştürme için Zoom, bellek güvenlik açığı olan ImageMagick sürümünü kullanmakta. Güvenlik açığı, ImageMagick’in GIF ayrıştırıcısındaki bellek alanının başlatılmaması nedeniyle oluşmaktadır.

Mazin Ahmed Zoom’un tamamen Uçtan Uca Şifrelenmediğini de belirtti. Zoom, 3 Ağustos 2020’de Zoom 5.2.4 sürümüyle yapılan güncellemede tüm güvenlik açıkları giderildi. Şirket, yaptıkları araştırmanın ardından, bu durumun bir veri kaybı olmadığını da ekledi.

Kaynak

Exit mobile version