O Zoom disse estar se empenhando para corrigir outra vulnerabilidade de dia zero na versão do sistema de conferência por vídeo para Windows, a qual pode permitir a execução remota arbitrária de código, ou seja, que um invasor execute qualquer comando na máquina do usuário.
A revelação do bug no Zoom foi feita pelo CEO da Acros Security, Mitja Kolsek, em um post no blog da empresa no qual alega que o pesquisador que encontrou a falha não divulgou ao Zoom, mas não se opôs que ela informasse a empresa sobre a vulnerabilidade.
“Analisamos o problema e descobrimos que ele potencialmente explorável apenas no Windows 7 ou em versões anteriores. Embora o suporte oficial da Microsoft ao Windows 7 tenha terminado em janeiro, ainda existem milhões de usuários domésticos e corporativos prolongando sua vida com atualizações de segurança estendidas da empresa ou por meio de um utilitário opatch [que permite instalar, habilitar ou desabilitar patches]”, explicou ele.
Veja isso
Mais de 500 mil contas do Zoom estão a venda na dark web
Processo acusa Zoom de ter escondido vulnerabilidades
Segundo o executivo, a Acros documentou o problema juntamente com vários cenários de ataque e o informou ao Zoom, juntamente com uma prova de conceito e recomendações para correção. Se uma recompensa pela descoberta for concedida pelo Zoom, ela será destinada uma instituição de caridade escolhida pelo pesquisador
O 0patch da Acros Security fornece “micropatches” para os processos em execução, sem a necessidade de os administradores de sistemas reiniciarem esses processos.
A empresa decidiu fornecer esses patches gratuitamente para quem fizer o download do 0patch Agent. Eles se tornarão obsoletos automaticamente assim que o Zoom lançar uma atualização para corrigir a vulnerabilidade, afirmou Kolsek. Atualmente, não há detalhes técnicos disponíveis falhas de dia zero, no entanto, o Zoom enviou uma breve declaração ao site Infosecurity.
“O Zoom leva a sério todos os relatórios de possíveis vulnerabilidades de segurança”, diz o comunicado. “Ontem de manhã [sexta-feira, 10], recebemos um relatório de um problema que afetava os usuários que executavam o Windows 7 ou versões anteriores. Confirmamos esse problema e atualmente estamos trabalhando em um patch para resolvê-lo rapidamente”, encerra a nota.
