نرم‌افزار برگزاری کنفرانس آنلاین zoom ایراد روز صفری داشت که یک مهاجم می‌توانست با استفاده از آن، در سیستم قرانی دستورات مخرب خود را اجرا کند.

برای بهره‌جویی از این آسیب‌پذیری، به نوعی تعامل از سوی کاربر نیاز است، مثل دانلود یا بازکردن یک فایل مخرب، اما در طول این فرایند هیچ هشدار امنیتی فعال نمی‌شود.

محققی که این آسیب‌پذیری را کشف کرده به جای آشکار سازی این حفره امنیتی به تیم توسعه دهنده Zoom ترجیح داده مطلب را با تیم Opatch مطرح کند. Opatch هم تا انتشار پچ اصلی توسط توسعه دهندگان Zoom، میکروپچی رایگان منتشر کردند تا مشکل فعلا برطرف شود.

Opatch در پستی به این نکته اشاره کرد که میکروپچ منتشر شده تا زمان انتشار پچ توسط تیم Zoom یا تصمیم آنها مبنی بر عدم رفع ایراد، در اختیار عموم قرار دارد. این کار برای کاهش خطر بهره‌جویی از سیستم کاربران منتشر شده و تا زمانی که Zoom بسته خود را منتشر نکرده، مدارک این حفره امنیتی افشا نخواهد شد.

با وجود اینکه توسعه دهندگان Zoom از افشای مدارک این آسیب‌پذیری امتناع کردند اما در ویدیویی، به صورت کاملا نا مفهومی، وجود آن را تایید کردند.

 آخرین نسخه این برنامه که فقط برای کاربران ویندوز ۷ و پایین تر منتشر شده، نسخه ۵.۱.۳ می‌باشد. توصیه می کنیم این کاربران هرچه سریعتر نرم‌افزار خود را بروز رسانی کنند.

نتایج نشان داده که این آسیب‌پذیری تنها در ویندوز ۷ و نسخه های قدیمی‌تر آن قابل بهره‌جویی است، اما امکان دارد در ویندوز سرور ۲۰۰۸ هم بتوان از این روش به سیستم نفوذ کرد.

علاوه بر این، توسعه دهندگان Zoom از انتشار نسخه جدیدتری نیز خبر دادند. در این نسخه الگوریتم رمزنگاری پیش فرض از AES-128 به  AES-256 ارتقا خواهد یافت. همچنین قابلیت جدیدی به نام Call Monitoring نیز به نسخه موبایل اضافه شده، امکان مکالمه از طریق تماس تلفنی، بدون اطلاع رسانی به دیگر کاربران و ملحق شدن به یک تماس و صحبت کردن با همه اعضای آن تماس از جمله امکانات این حالت می‌باشد.

در بین قابلیت‌ها و پیشرفت‌های این برنامه، قابلیتی با عنوان Singapore data center  نیز دیده می‌شود. با این قابلیت، ادمین‌ها می‌توانند تماس یا وبینار را از طریق سرورهای رمزنگاری شده که در سنگاپور واقع شده‌اند، عبور داده و به مخاطبان ارسال کند.

به تمامی کاربران Zoom توصیه می‌کنیم بروزرسانی خودکار این اپلیکیشن‌ را فعال کنید تا بتوانید در مقابل حفره‌های امنیتی از خود محافظت کنید.

نظرات

نظر (به‌وسیله فیس‌بوک)