Уязвимость в клиенте Zoom для MacOS

Обнаружены уязвимости в клиенте Zoom для MacOS. Они позволяют принудительно присоединить посетителя сайта к видеозвонку, если у него на компьютере установлен Zoom. Кроме того, если отправить специально подобранные параметры звонка, можно вызвать увеличение потребления ресурсов компьютером жертвы.

Zoom - популярное приложение для организации видеоконференций, используемое, в частности, корпорацией ICANN. При установке на Mac приложение устанавливает веб-сервер, слушающий на локальном хосте на порту 19421. Внедрив в страницу отправку AJAX-запроса к этому серверу, можно добиться присоединения к указанному звонку.

Уязвимостям присвоены коды CVE-2019–13449 (отказ в обслуживании, исправлено в версии 4.4.2) и CVE-2019–13450 (доступ к камере, пока не исправлено).

Подробнее об уязвимостях можно прочитать по ссылке.


Возврат к списку