0

  • Votre panier est vide.

  • COMPTE

Faille critique non corrigée révélée dans le logiciel Zoom pour Windows 7 ou version antérieure

Certains articles de veille peuvent faire l'objet de traduction automatique.

Une vulnérabilité zero-day a été découverte dans le logiciel de visioconférence Zoom pour Windows qui pourrait permettre à un attaquant d’exécuter du code arbitraire sur l’ordinateur d’une victime exécutant Microsoft Windows 7 ou version antérieure.

Pour exploiter avec succès la vulnérabilité de zoom, il suffit à un attaquant d’inciter un utilisateur de Zoom à effectuer une action typique comme l’ouverture d’un fichier de document reçu. Aucun avertissement de sécurité n’est déclenché ou montré à l’utilisateur au moment de l’attaque.

La vulnérabilité a été découverte par un chercheur qui l’a signalée à Acros Security, qui a ensuite signalé la faille à l’équipe de sécurité de Zoom plus tôt dans la journée. Le chercheur souhaite rester anonyme.

Bien que la faille soit présente dans toutes les versions prises en charge du client Zoom pour Windows, elle n’est exploitable que sur les systèmes exécutant Windows 7 et des systèmes Windows plus anciens en raison de certaines caractéristiques système spécifiques.

« Cette vulnérabilité n’est exploitable que sur Windows 7 et les versions antérieures de Windows. Elle est probablement également exploitable sur Windows Server 2008 R2 et les versions antérieures, bien que nous ne l’ayons pas testé », a déclaré Mitja Kolsek, co-fondateur de 0patch, dans un article de blog publié jeudi.

Alors que Microsoft a mis fin au support officiel de Windows 7 en janvier et encouragé les utilisateurs à passer à des versions plus sécurisées du système d’exploitation, Windows 7 est toujours largement utilisé par les utilisateurs et les organisations en général.

Les chercheurs d’Acros Security, les créateurs de 0patch, ont développé un micro-correctif pour toutes les versions de Zoom Client pour Windows (à partir de la version 5.0.3 et jusqu’à la dernière version 5.1.2) pour résoudre le problème de sécurité et les publier tout le monde gratuitement jusqu’à ce que Zoom Video Communications fournisse un correctif de sécurité officiel.

Lorsqu’un utilisateur active 0patch sur son système, le code malveillant envoyé par un attaquant n’est pas exécuté lorsqu’un utilisateur Zoom clique sur le bouton « Démarrer la vidéo ».

« Zoom Client dispose d’une fonctionnalité de mise à jour automatique assez persistante qui est susceptible de garder les utilisateurs à domicile informés à moins qu’ils ne le souhaitent vraiment », a déclaré Kolsek.

« Cependant, les administrateurs d’entreprise aiment souvent garder le contrôle des mises à jour et peuvent rester quelques versions derrière, surtout si aucun bogue de sécurité n’a été corrigé dans les dernières versions (ce qui est actuellement le cas). »

Les chercheurs d’Acros Security ont également développé un exploit de preuve de concept fonctionnel pour la vulnérabilité, qu’ils ont partagé avec Zoom et qu’ils ne publieront pas tant que l’entreprise n’aura pas résolu le problème.

Cependant, la société a publié une démonstration vidéo de validation de principe qui montre comment un exploit malveillant pour cette vulnérabilité peut être déclenché en cliquant sur le bouton «démarrer la vidéo» dans le client Zoom.

Pas de patch! Que doivent faire les utilisateurs concernés?

Jusqu’à ce que Zoom publie un correctif pour le problème, les utilisateurs peuvent temporairement cesser d’utiliser le client Zoom sur leurs anciennes versions de Windows, ou mettre à jour leur système d’exploitation vers une version plus récente.

Les utilisateurs peuvent également implémenter micropatch publié par Acros Security, mais comme il provient d’un éditeur de logiciels tiers et non de Zoom lui-même, je ne recommanderais pas de le faire.

En raison de l’épidémie de coronavirus en cours, l’utilisation du logiciel de visioconférence Zoom a explosé au cours des derniers mois, car il est utilisé non seulement par les entreprises, mais également par des millions d’utilisateurs réguliers à travers le monde pour faire face à la scolarité, aux affaires, à l’engagement social, et ainsi de suite.

MISE À JOUR: Dans une déclaration fournie à The Hacker News, Zoom a confirmé qu’il avait maintenant corrigé la vulnérabilité mentionnée ci-dessus avec la version 5.1.3 du client Zoom.

«Les utilisateurs peuvent contribuer à assurer leur sécurité en appliquant les mises à jour actuelles ou en téléchargeant le dernier logiciel Zoom avec toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.»

La saga ZOOM continue …

Le mois dernier, Zoom a corrigé deux vulnérabilités critiques dans son logiciel de visioconférence pour les ordinateurs Windows, macOS ou Linux qui auraient pu permettre à des attaquants de pirater les systèmes des participants au chat de groupe ou d’un destinataire individuel à distance.

En avril, une série de problèmes ont été découverts et signalés dans Zoom, ce qui a soulevé des problèmes de confidentialité et de sécurité entourant le logiciel de visioconférence parmi des millions d’utilisateurs.

Plus tôt cette année, Zoom a également corrigé un grave bug de confidentialité dans son logiciel qui aurait pu permettre à des personnes non invitées de rejoindre des réunions privées et d’écouter à distance des fichiers audio, vidéo et des documents privés partagés tout au long de la session.

Voir aussi :

octobre 7, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)