Zoom修复了影响Windows 7的零日RCE错误，即将推出更多更新

Zoom 网络会议客户端包含一个零日漏洞，该漏洞可能使攻击者能够在易受攻击的系统上远程执行命令。

利用此漏洞至少需要在受害者端采取某种形式的操作，例如下载和打开恶意附件，但是，在利用过程中不会触发安全通知。

希望保持匿名的研究人员与 0patch 小组联系，公开了该漏洞，而不是直接向 Zoom 报告。

然后，0patch 的研究人员免费发布了“微型补丁”，直到Zoom可以发布自己的微型补丁为止。

“根据我们的指南，我们将免费向所有人提供这些微型补丁，直到 Zoom 修复了该问题或决定不修复它为止。为了最大程度地降低没有 0patch 的系统上被利用的风险，我们不会发布有关此漏洞的详细信息，直到 Zoom 修复了该问题或决定不修复此问题，或者直到这些详细信息以任何方式成为公众知识为止。” 0patch 在博客文章中。

尽管公司没有透露远程代码执行漏洞的完整细节，但他们确实发布了概念验证视频，模糊地演示了该漏洞利用：

“客户端 RCE 几乎总是需要一些社会工程学；有些要求用户打开恶意文档，有些需要访问恶意网页，有些需要连接到恶意RDP服务器，等等。这些对于用户而言并不是什么不寻常的行为，但他们可能会在没有诱惑的情况下执行这些操作，” 0patch co 发现的 Mitja Kolsek 告诉 BleepingComputer。

Zoom于 7月10日为 Windows 用户发布了最新版本5.1.3（28656.0709）的补丁程序，建议用户下载最新版本的客户端应用程序。

该发行说明确认更新“修复影响运行 Windows 7 和老用户的安全性问题。”

已知该漏洞仅在Windows 7和早期版本中可以利用，但在 Windows Server 2008 R2 和早期版本中也可以利用。

0patch 告知其用户，无论使用什么操作系统，他们的微补丁都将保护用户免受此漏洞的影响。

未来更新

Zoom 还发布了计划中的更新说明，该更新计划于 2020 年 7 月 12 日面向电话和网络用户发布。

默认情况下，此更新承诺将加密从 AES-128 升级到 AES-256。它还为移动用户引入了“呼叫监视”功能，有效地使他们能够“在各方不知情的情况下收听呼叫；在通话中与其他用户不知情的电话用户通话；加入通话并与各方通话；或接听另一个用户的呼叫。”

其他功能和增强功能包括所谓的“新加坡数据中心选项”。该选项使帐户所有者和管理员可以通过位于新加坡的数据中心路由实时会议和网络研讨会流量。

此外，7 月 12 日的 Web 更新还提供了定制的快速拨号，该拨号支持忙灯区（BLF）功能，呼叫寄存，创建外部联系人共享目录的功能以及“小错误修复”。

同时，此更新将使“电话”用户能够访问电话用户目录，并将活动的呼叫转移到另一个用户的语音信箱。

建议 Zoom 用户打开自动更新功能，以保护自己免受安全漏洞的影响，并充分利用最新的产品。

文章转自：bleepingcomputer / 免责声明：文章系本站编辑转载，转载目的在于传递更多信息，并不代表本站赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请及时联系我们，我们将会在24小时内删除内容！

版权声明：本站文章来源标注为YINGSOO的内容版权均为本站所有，欢迎引用、转载，请保持原文完整并注明来源及原文链接。禁止复制或仿造本网站，禁止在非www.yingsoo.com所属的服务器上建立镜像，否则将依法追究法律责任。本站部分内容来源于网友推荐、互联网收集整理而来，仅供学习参考，不代表本站立场，如有内容涉嫌侵权，请联系alex-e#qq.com处理。