Обе найденные проблемы представляли собой баги типа «path traversal», то есть допускали запись или копирование произвольных файлов в систему жертвы. Хуже того, по словам исследователей, эксплуатация этих проблем требовала весьма ограниченного взаимодействия с пользователями чата, к примеру, было достаточно отправить конкретному человеку или группе специально созданное сообщение.
Первая брешь (CVE-2020-6109) связана с тем, что Zoom использует сервис Giphy, недавно приобретенный компанией Facebook, чтобы пользователи могли обмениваться в чате анимированными GIF-картинками. Как выяснили эксперты, Zoom не проверяет загружается GIF с серверов Giphy или нет, то есть злоумышленник мог встраивать в сообщения файлы GIF со стороннего сервера. Более того, Zoom не проверяет имена файлов, благодаря чему замаскированные под GIF вредоносные объекты могут проникнуть в локальные папки пользователя, например, в папке автозагрузки.
Вторая уязвимость (CVE-2020-6110) приводит к удалённому выполнению кода. Она затрагивает обработку кусков кода, отправленных в чаты. По сути, эта функция создает ZIP-архив с фрагментом кода перед отправкой, а затем автоматически распаковывает его в системе получателя. При этом во время распаковки файлов ZIP Zoom предварительно не проверяет содержимое архива, что теоретически позволяет злоумышленнику внедрить произвольный код на целевой компьютер.
Эксперты Cisco Talos сообщают, что разработчики Zoom исправили обе критические уязвимости с релизом версии 4.6.12.
Ранее сотрудники Zoom заявляли, что хотят усилить шифрование видеозвонков, но только для платных пользователей.
