L’application Zoom comprend une grave vulnérabilité de sécurité qui pourrait permettre aux attaquants d’exécuter des commandes sur des systèmes distants non protégés exécutant Windows 7 ou une version antérieure.
L’exploitation de la vulnérabilité nécessite un certain type d’action de la part de la victime, comme le téléchargement et l’ouverture d’une pièce jointe malveillante, cependant, aucune alerte de sécurité ne sera déclenchée pendant l’exploitation.
Le chercheur qui a découvert la vulnérabilité a contacté l’équipe 0patch pour la détecter, au lieu de la signaler directement à eux, et les chercheurs de 0patch ont publié gratuitement un mini-patch afin que la plateforme puisse lancer sa correction.
Bien qu’il existe un bogue dans toutes les versions prises en charge de l’application Zoom pour le système d’exploitation Windows, il n’est exploitable que sur les systèmes exécutant Windows 7 et versions antérieures en raison de certaines fonctionnalités spécifiques du système.
Alors que Microsoft a mis fin à la prise en charge officielle du système d’exploitation Windows 7 en janvier dernier et a encouragé les utilisateurs à passer à des versions plus sûres du système d’exploitation, Windows 7 est toujours largement utilisé par les utilisateurs et les organisations en général.
Les chercheurs de 0patch ont déclaré dans un article: Nous offrons gratuitement ce mini-patch à tout le monde. Tant que Zoom ne résout pas le problème, ou décide de ne pas le résoudre, et afin de réduire les risques d’exploitation pour les systèmes qui ne contiennent pas le correctif, nous ne publions pas de détails sur cette vulnérabilité jusqu’à ce que Zoom la corrige, ou décide de ne pas le résoudre, ou Jusqu’à ce que ces détails soient connus. »
Alors que l’équipe 0patch a refusé de révéler tous les détails de l’erreur d’exécution de code à distance, elle a publié une vidéo pour démontrer le concept qui explique vaguement l’exploitation.
Zoom a publié un correctif dans la dernière version 5.1.3 pour les utilisateurs de Windows à compter du 10 juillet, et les notes de version confirment que la mise à jour corrige cette grave vulnérabilité de sécurité qui affecte les utilisateurs utilisant le système d’exploitation Windows 7 et les versions antérieures.
Compte tenu de la prévalence du coronavirus, l’utilisation de logiciels de visioconférence Zoom a considérablement augmenté au cours des derniers mois, les entreprises l’utilisant aux côtés de millions d’utilisateurs dans le monde pour poursuivre leurs études, leurs activités commerciales et leurs réseaux sociaux.