https://thehackernews.com/2022/01/google-details-two-zero-day-bugs.html
人気のあるビデオ会議ソリューションZoomのゼロクリック攻撃対象領域の調査により、サービスのクラッシュ、悪意のあるコードの実行、さらにはメモリの任意の領域の漏洩に悪用される可能性のある、これまで公開されていなかった2つのセキュリティ脆弱性が見つかりました。
とMMRサーバーがクラッシュします。
研究者はまた、ZoomがASLR、別名アドレス空間配置のランダム化、バッファオーバーフロー攻撃の実行の難しさを増すように設計されたセキュリティメカニズムを有効にできなかったという事実にメモリ破損の欠陥を帰しました。
ほとんどのビデオ会議システムは、マルチメディア通信を実装するためにWebRTCやPJSIPなどのオープンソースライブラリを使用しますが、Project Zeroは、Zoomによる独自のフォーマットとプロトコルの使用、およびセキュリティ研究の障壁としての高いライセンス料(約1,500ドル)を指摘しました。
「クローズドソースソフトウェアには独自のセキュリティ上の課題があり、Zoomは、セキュリティ研究者やそれを評価したい他の人々がプラットフォームにアクセスできるようにするために、さらに多くのことを行うことができます」とSilvanovich氏は述べています。
「Zoomセキュリティチームはサーバーソフトウェアへのアクセスと構成を支援してくれましたが、他の研究者がサポートを利用できるかどうかは明らかではなく、ソフトウェアのライセンスは依然として高額でした。」
Googleの詳細ZoomクライアントとMMRサーバーで報告された2つのゼロデイバグnoreply@blogger.com(Ravie Lakshmanan)
security summary
コメント