สองช่องโหว่ใหม่ใน Zoom ที่ทำให้ผู้ไม่หวังดีสามารถทำการโจมตีผ่านช่องทางเเชทได้
นักวิจัยจาก Cisco Talos ได้เปิดเผยสองช่องโหว่ใหม่ที่มีความรุนเเรงระดับ Critical ในแอปพลิเคชัน Zoom ที่ทำให้ผู้โจมตีสามารถทำการโจมตีผ่านแชทได้จากระยะไกล โดยการส่งโค้ดที่เป็นอันตรายผ่านช่องทางแชท
ช่องโหว่เเรกนั้นถูกติดตามด้วยรหัส CVE-2020-6109 เป็นช่องโหว่การสำรวจไดเรกทอรี โดยช่องโหว่นี้ใช้ประโยชน์จากเซอร์วิส GIPHY ที่เป็นเซอร์วิสที่ทำให้ผู้ใช้สามารถค้นหาและใช้งานรูปภาพที่เป็นไฟล์ .GIF ได้ผ่านช่องทางเเชท
ผู้เชี่ยวชาญกล่าวว่า Zoom นั้นไม่ได้ทำการตรวจสอบเเหล่งที่มาของไฟล์ .GIF ซึ่งทำให้ผู้โจมตีสามารถแชร์ภาพจากเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมอยู่ได้ และในขณะเดียวกันภาพดังกล่าวจะถูกเก็บเป็นแคชไว้ในไดเรกทอรีของ Zoom ด้วย นอกเหนือจากนั้นผู้โจมตียังสามารถปรับเปลี่ยนชื่อไฟล์เพื่อบังคับให้เกิดการบันทึกแคชของไฟล์ไว้ในจุดที่สำคัญของระบบได้
ช่องโหว่ที่สองถูกติดตามด้วยรหัส CVE-2020-6110 เป็นช่องโหว่ที่อยู่ในการจัดการ Code snippets ที่แชร์ผ่านช่องทางเเชทของ Zoom ซึ่งผู้เชี่ยวชาญกล่าวว่าช่องโหว่นี้เป็นการใช้ประโยชน์จากคุณสมบัติของการแยกไฟล์ zip ของ Zoom ซึงไม่ได้ทำการตรวจสอบความถูกต้องของเนื้อหาของไฟล์ zip ก่อนที่จะทำการแตกไฟล์ จึงทำให้ผู้โจมตีสามารถส่งไฟล์ที่เป็นอัตรายให้เป้าหมายได้ผ่านช่องทางเเชท
ผู้เชี่ยวชาญยังกล่าวว่าช่องโหว่ทั้งสองนี้อยู่ใน Zoom เวอร์ชั่น 4.6.10 และ Zoom ได้ทำการแพตซ์ช่องโหว่นี้แล้วใน Zoom เวอร์ชั่น 4.6.12
ทั้งนี้ผู้ใช้งานแอปพลิเคชัน Zoom ควรทำการอัพเดต Zoom ให้เป็นเวอร์ชั่นล่าสุดเพื่อป้องกันผู้ไม่หวังดีทำการใช้ประโยชน์จากช่องโหว่ดังกล่าว