视频消息平台Zoom上周发布了一个新的补丁,针对其macOS设备客户端的一个严重漏洞。
该漏洞(跟踪CVE-2022-28762)指的是影响5.10.6到5.12.0版本之间的调试端口配置错误,通用的漏洞评分系统(CVSS)为3.1 (满分10分)。
上周,该公司在其安全公告页面上写道:“通过运行某些Zoom App,当摄像头模式渲染上下文作为Zoom App Layers API的一部分启用时,Zoom客户端会打开一个本地调试端口。”
据这家视频通讯公司称,如果利用该漏洞,恶意行为者可能会连接到他们的客户端,并控制其中运行的Zoom Apps。
从技术角度来看,Zoom Apps是与外部应用程序的集成,用户可以从视频消息平台内部访问这些应用程序。其中包括Miro、Dropbox Spaces和Asana等工具。
该漏洞已经被Zoom自己的安全团队发现,并在最新版本的macOS客户端(5.12.0)中进行了全面修补。macOS客户端现在可以在该公司的网站上使用,并且可以通过已经安装的视频消息平台的迭代设置进行安装。
该科技公司写道:“用户可以通过应用当前更新或下载带有当前所有安全更新的最新Zoom软件来帮助保护自己的安全。”
几个月前,谷歌Project Zero的Ivan Fratric发现了四个漏洞(现已打了补丁),通过发送某些可扩展消息和存在协议(XMPP)消息和执行恶意代码,这些漏洞可以被利用来破坏用户聊天。
最近,网络安全公司Cyfirma的一项调查显示,被称为FIN11(和Clop)的威胁行为者可能冒充Zoom应用程序的网页下载页面,对全球目标进行网络钓鱼活动。