Újabb súlyos Zoom hibára derült fény

 

Egy frissen publikált Zoom sérülékenység lehetővé tehette, hogy a támadó bármilyen szervezetet megszemélyesítsen zoomos meghívók segítségével. A biztonsági hiba nem megfelelő fiók ellenőrzésből fakadt, ami rendkívül veszélyes kihasználási módot tett lehetővé a Vanity URL, a Zoom egyéni URL készítő funkcióját érintően. Ez a funkció teszi lehetővé, hogy egy cég saját zoomos “aldomaint” hozzon létre ─ például: xyvállalat.zoom.us ─ ami a videó konferencia beszélgetés meghívójában lévő hivatkozásban is megjelenik. Mint arra Check Point rámutatott, egy támadó bármilyen regisztrált aldomaint felhasználva készíthetett meghívókat, továbbítva azokat a potenciális áldozatoknak, akik számára mindez teljesen legitimnek tűnhetett.

Habár a Check Point felelős közzététele (responsible disclosure) nyomán a Zoom már korábban javította a hibát, az NBSZ NKI a felhasználók számára javasolja, hogy minden esetben legyenek kiemelt figyelemmel a zoomos meghívók tekintetében. Javasolt másik kommunikációs csatornán keresztül (például telefonon) megerősítést kérni egy-egy meghívó hitelességével kapcsolatban.

(thehackernews.com)