首页 > 清静研究 > 清静转达 > 清静通告

Zoom多款软件远程代码执行误差清静通告

宣布时间 2019-07-17

误差编号和级别

CVE编号：CVE-2019-13567，，，，，，危险级别：高危，，，，，，CVSS分值：官方未评定

影响版本

受影响的版本

Mac的Zoom Client 4.4.53932.0709之前版本

误差概述

Zoom是企业视频通讯领域的向导者，，，，，，是视频和音频聚会，，，，，，谈天和网络钻研会最受接待和最可靠的云平台之一。。。。。

在7月10日广受接待且普遍使用的Zoom视频聚会软件中披露隐私误差CVE-2019-13450的杂乱和恐慌还没有竣事。。。。。软件外地装置的web效劳器不但允许任何网站翻开您的装备网络摄像头，，，，，，并且还可以让黑客远程完全控制您的Apple Mac盘算机。。。。。

据报道，，，，，，用于macOS的基于云的Zoom聚会平台也被发明容易受到另一个严重误差（CVE-2019-13567）的影响，，，，，，该误差可能允许远程攻击者在目的系统上执行恣意代码。。。。。

这两个误差都源于一个有争议的外地Web效劳器，，，，，，在端口19421上运行，，，，，，Zoom客户端装置在用户的盘算机上以提供点击加入功效。。。。。清静研究职员强调的主要是两个问题：首先，，，，，，外地效劳器“不清静”通过HTTP吸收下令，，，，，，允许任何网站与之交互，，，，，，其次，，，，，，当用户从其系统中删除Zoom客户端时，，，，，，它不会被卸载，，，，，，让他们永远懦弱。。。。。

下面列出的Zoom软件共有10个更名版本，，，，，，可在市场上买到。。。。。所有这些视频聚会软件都在事情，，，，，，并包括相同的误差，，，，，，使用户也面临远程黑客攻击的危害：

RingCentral
Zhumu
Telus Meetings
BT Cloud Phone Meetings
Office Suite HD Meeting
AT&T Video Meetings
BizConf
Huihui
UMeeting

Zoom CN

Apple已推送了所有macOS用户的更新，，，，，，自动删除Zoom Web效劳器而无需任何用户交互。。。。。

误差验证

POC视频：

https://twitter.com/karanlyons/status/1150774640899317760。。。。。

修复建议

Zoom修补了误差，，，，，，请更新至Zoom client version 4.4.53932.0709：https://zoom.us/download。。。。。

RingCentral修补了误差，，，，，，请更新至RingCentral Meetings MacOS app v7.0.151508.0712：https://support.ringcentral.com/s/article/11201-Meetings-Security-Advisory?language=en_US。。。。。

缓解步伐：

建议用户通过运行GitHub上的研究职员提供的下令手动删除隐藏的Web效劳器：https://gist.github.com/karanlyons/1fde1c63bd7bb809b04323be3f519f7e。。。。。

参考链接

https://thehackernews.com/2019/07/zoom-ringcentral-vulnerabilities.html
https://thehackernews.com/2019/07/zoom-video-conferencing-hacking.html

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

人生就是博

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系人生就是博

清静研究

Zoom多款软件远程代码执行误差清静通告

关于人生就是博

解决计划

清静研究

联系人生就是博

7*24小时效劳热线