白帽黑客競賽揭 Zoom 漏洞 啟動視像即中招

| 蘇家華 | 14-04-2021 00:52 |
白帽黑客競賽揭 Zoom 漏洞 啟動視像即中招

沒錯疫情下是多了不少人使用 Zoom 開會或上課,但用家數量增加的同時,程式漏洞也愈見頻繁。在上星期完滿結束,由 Zero Day Initiative 主辦的白帽黑客競賽 Pwn2Own 中,Computest 研究人員 Daan Keuper 及 Thijs Alkemade 就揭發 Zoom 漏洞,黑客在毋須用家在 Zoom 與他人有任何互動的情況下,都可遠端執行程式碼 RCE,當用家啟動視像即中招。

  • 由 Zero Day Initiative 主辦的白帽黑客競賽 Pwn2Own,已於上星期完滿結束
  • Computest 研究人員 Daan Keuper 及 Thijs Alkemade 揭發 Zoom 漏洞
  • 黑客在毋須用家在 Zoom 與他人有任何互動的情況下,都可遠端執行程式碼 RCE,當用家啟動視像即中招

【相關報道】Clubhouse CEO 否認 130 萬用戶資料外洩【下一頁

Computest 研究人員 Daan Keuper 及 Thijs Alkemade 發現,黑客只要連結 3 個 Zoom 漏洞,即使用家沒有在 Zoom 與他人有任何互動,都可遠端執行程式碼 RCE,當用家啟動視像即中招,而有關漏洞就於白帽黑客競賽 Pwn2Own 完結後公布,兩名研究人員因而獲得獎金 US$20 萬(約 HK$1,554,400)。隨後 Zoom 對事件發表聲明,提到在 Zoom Chat 發現了最少 1 個漏洞,但可幸的是 Zoom Meeting 及 Zoom Video Webinar 會議則不受影響,現時正致力修補有關漏洞。另外,品牌也強調有關攻擊是需從事主接收的外部聯絡人發動,又或者必須與事主屬於同一個公司帳號,方能成事的。有見及此,品牌建議所有用家只接受由個人發出的通話請求,而最好發出請求的人是認識的。

據美國網絡安全企業 MalwareByte 所提,目前已知以上 Zoom 漏洞是可在 Windows 及 Mac 版本提到,網頁版則不受影響。至於因着 Daan Keuper 及 Thijs Alkemade 兩位研究人員未有實測 iOS 及 Android 版本,所以也未知 Zoom 手機版有否同受影響。

【相關報道】WhatsApp 出現嚴重漏洞 可輕易註銷他人帳號【下一頁

【相關報道】Facebook 洩 293 萬個香港帳戶資料 私隱專員籲勿一個密碼走天涯【下一頁

想睇盡全城最 Hit 科技生活影片,請即【按此】瀏覽同埋 subscribe ezone.hk 嘅 YouTube channel。

Source: PCMag

Page 1 of 9