Teacher 板


LINE

Title : <研究人員揪出Windows版與macOS版的Zoom程式漏洞> Date : 2020-04-02 Author: 陳曉莉 Source: https://www.ithome.com.tw/news/136736 Researcher From VMRay Blog: https://reurl.cc/j7GkRL <=詳細圖文解釋 因「在家上班」風潮而家喻戶曉的視訊會議平台Zoom本周又被揪出安全漏洞, 而且是被不同的安全研究人員找到macOS版與Windows版的Zoom程式漏洞, 相關漏洞可能允許駭客擴張權限,或是竊取Windows密碼。 揭露macOS版Zoom客戶端程式漏洞的,是網路安全公司VMRay的惡意程式 研究人員Felix Seele,以及專門研究macOS安全性的Objective-See。 研究人員發現,macOS版Zoom程式除了會擅自執行安裝程序之外,也含 有權限擴張漏洞,亦允許駭客注入程式以存取麥克風及攝影機。 Seele指出,Zoom的安裝程序採用了預先安裝的腳本程式,不需使用者 作最後的確認,就逕自將程式安裝在macOS上。 當使用者要加入一個Zoom會議時,會被要求下載及執行Zoom程式, 通常會出現一些頁面來讓使用者客製化及確認安裝,但Zoom的安裝 程序卻跳過這些客製化與確認的步驟,而直接執行預先安裝的腳本 程式,此一預先安裝通常是在程式尚未確認硬體相容性時便執行了。 雖然macOS會在執行預先安裝時提出警告,但跳出的訊息是 「此一執行將確定能否安裝程式」(will determine if the software can be installed),大多數的使用者會按下同意,但它不只檢查硬體 的相容性,還直接執行完整的安裝。此外,若是需要管理權限才能安裝Zoom, 跳出的訊息應該是「Zoom需要你的密碼才能更新既有程式」之類的, 但Zoom卻是使用了「系統需要你的權限進行變更」的文字敘述,完全未提 及品牌名稱,可能讓使用者誤解這是作業系統的需求而非Zoom,進而輸入 自己的密碼。 Seele表示,雖然Zoom並非惡意程式,但上述兩項手法都是macOS惡意程式才會有的行為。 Objective-See則在macOS版Zoom程式中發現了第三個問題, 在Zoom請求使用者賦予該程式存取攝影機及麥克風的權限時, 含有一個排除條款,將允許惡意程式注入該程序,也許是用來紀錄 會議內容,或者是擅自存取裝置上的攝影機與麥克風。 除了macOS的Zoom程式之外,另一個代號為@_g0dmode的安全研究人員, 則發現Windows版的Zoom程式也含有安全漏洞。 該漏洞屬於UNC注入漏洞,允許駭客在Zoom程式的聊天功能中, 把Windows網路的UNC路徑轉成超連結,使用者點選時,Windows 會透過SMB檔案分享功能來開啟遠端檔案,同時傳送使用者的登入名稱 及NTLM雜湊密碼,這時駭客只要透過免費工具,就能揭露使用者密碼。 --
QR Code



※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 150.117.16.107 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Teacher/M.1586332641.A.A3F.html ※ 編輯: wa007123456 (150.117.16.107 臺灣), 04/08/2020 16:14:54
1F:→ atom95 : 綠苟快滾,在開蟑聖母繼續逍遙法外的前提下,扯資訊 04/09 08:20
2F:→ atom95 : 安全都是個屁,乖,回去找主人看看怎麼辦?補個乾! 04/09 08:20
3F:推 blueman1025 : atom95 只有這些話嗎? 04/09 09:10
4F:→ getwild : atom正常發揮 04/09 09:39
5F:推 Reichenau : 阿痛 04/11 18:18







like.gif 您可能會有興趣的文章
icon.png[問題/行為] 貓晚上進房間會不會有憋尿問題
icon.pngRe: [閒聊] 選了錯誤的女孩成為魔法少女 XDDDDDDDDDD
icon.png[正妹] 瑞典 一張
icon.png[心得] EMS高領長版毛衣.墨小樓MC1002
icon.png[分享] 丹龍隔熱紙GE55+33+22
icon.png[問題] 清洗洗衣機
icon.png[尋物] 窗台下的空間
icon.png[閒聊] 双極の女神1 木魔爵
icon.png[售車] 新竹 1997 march 1297cc 白色 四門
icon.png[討論] 能從照片感受到攝影者心情嗎
icon.png[狂賀] 賀賀賀賀 賀!島村卯月!總選舉NO.1
icon.png[難過] 羨慕白皮膚的女生
icon.png閱讀文章
icon.png[黑特]
icon.png[問題] SBK S1安裝於安全帽位置
icon.png[分享] 舊woo100絕版開箱!!
icon.pngRe: [無言] 關於小包衛生紙
icon.png[開箱] E5-2683V3 RX480Strix 快睿C1 簡單測試
icon.png[心得] 蒼の海賊龍 地獄 執行者16PT
icon.png[售車] 1999年Virage iO 1.8EXi
icon.png[心得] 挑戰33 LV10 獅子座pt solo
icon.png[閒聊] 手把手教你不被桶之新手主購教學
icon.png[分享] Civic Type R 量產版官方照無預警流出
icon.png[售車] Golf 4 2.0 銀色 自排
icon.png[出售] Graco提籃汽座(有底座)2000元誠可議
icon.png[問題] 請問補牙材質掉了還能再補嗎?(台中半年內
icon.png[問題] 44th 單曲 生寫竟然都給重複的啊啊!
icon.png[心得] 華南紅卡/icash 核卡
icon.png[問題] 拔牙矯正這樣正常嗎
icon.png[贈送] 老莫高業 初業 102年版
icon.png[情報] 三大行動支付 本季掀戰火
icon.png[寶寶] 博客來Amos水蠟筆5/1特價五折
icon.pngRe: [心得] 新鮮人一些面試分享
icon.png[心得] 蒼の海賊龍 地獄 麒麟25PT
icon.pngRe: [閒聊] (君の名は。雷慎入) 君名二創漫畫翻譯
icon.pngRe: [閒聊] OGN中場影片:失蹤人口局 (英文字幕)
icon.png[問題] 台灣大哥大4G訊號差
icon.png[出售] [全國]全新千尋侘草LED燈, 水草

請輸入看板名稱,例如:Soft_Job站內搜尋

TOP