В Zoom исправлены баги, обнаруженные экспертами Google Project Zero

Разработчики Zoom выпустили исправления для двух багов, которые затрагивали версии приложения для Windows, macOS, Linux, iOS и Android. Уязвимости обнаружил специалисты команды Google Project Zero.

Исследовательница Google Project Zero Натали Сильванович пишет, что уязвимости влияют на основной клиент Zoom для конференций и актуальны для всех основных платформ. Эксплуатация багов можно привести к атакам, связанным с выполнением кода.

Наиболее серьезной из двух проблем является CVE-2021-34423, которая затрагивает широкий спектр компонентов и SDK. Ошибка описывается как переполнение буфера и набрала 7,3 балла по шкале оценки уязвимостей CVSS.

«Эта уязвимость потенциально позволяет злоумышленнику спровоцировать сбой службы или приложения, а затем использовать это для выполнения произвольного кода», — пишут разработчики.

Вторая уязвимость, CVE-2021-34424, приводит к повреждению информации в памяти и позволяет узнать состояние памяти процесса для нескольких продуктов и ​​компонентов. По словам создателей Zoom, этот баг может быть использован для получения представления о произвольных областях памяти.

Полный список затронутых версий Zoom выглядит следующим образом:

• клиент Zoom для конференций (для Android, iOS, Linux, macOS и Windows) до версии 5.8.4;
• клиент Zoom для конференций для Blackberry (для Android и iOS) до версии 5.8.1;
• клиент Zoom для конференций для intune (для Android и iOS) до версии 5.8.4;
• клиент Zoom для конференций для Chrome OS до версии 5.0.1;
• Zoom Rooms для конференц-зала (для Android, AndroidBali, macOS и Windows) до версии 5.8.3;
• Контроллеры для Zoom Rooms (для Android, iOS и Windows) до версии 5.8.3;
• Zoom VDI до версии 5.8.4;
• SDK Zoom Meeting для Android до версии 5.7.6.1922;
• SDK Zoom Meeting для iOS до версии 5.7.6.1082;
• SDK Zoom Meeting для macOS до версии 5.7.6.1340;
• SDK Zoom Meeting для Windows до версии 5.7.6.1081;
• Zoom Video SDK (для Android, iOS, macOS и Windows) до версии 1.1.2;
• Zoom On-Premise Meeting Connector Controller до версии 4.8.12.20211115;
• MMR Zoom On-Premise Meeting Connector до версии 4.8.12.20211115;
• Zoom On-Premise Recording Connector до версии 5.1.0.65.20211116;
• Zoom On-Premise Virtual Room Connector до версии 4.4.7266.20211117;
• Zoom On-Premise Virtual Room Connector Load Balancer до версии 2.5.5692.20211117;
• Zoom Hybrid Zproxy до версии 1.0.1058.20211116;
• Zoom Hybrid MMR до версии 4.6.20211116.131_x86-64.

Также нужно отметить, что в этом месяце команда Zoom наконец-то добавила в приложение механизм автоматического обновления (в десктопную версию для Windows и macOS, Linux пока не поддерживается), так что теперь пользователи смогут  своевременно получать патчи.