Pesquisadores descobriram a vulnerabilidade do dia zero em zoom. É relatado que pode ser usado para fazer ataques com execução de código remoto (RCE). A vulnerabilidade foi descoberta no âmbito da concorrência pelos profissionais da Cybersecurity Pwn2own organizado pela iniciativa zero.
Os pesquisadores computacionais demonstraram uma cadeia de ataque de três erros, que permitia executar remotamente o código na máquina de destino. É importante notar que tudo isso não exigiu nenhuma interação do usuário. Ou seja, o ataque pode ser feito completamente sem o conhecimento da vítima. Como zoom ainda não conseguiu fechar esta vulnerabilidade, detalhes técnicos específicos são armazenados no segredo, porque seu uso pode causar danos graves. O pesquisador de segurança demonstrando o trabalho da vulnerabilidade, lançou remotamente a aplicação da calculadora em um computador hackeado.
É relatado que o ataque funciona tanto em zoom para Windows quanto com a versão do programa MacOS. A versão do aplicativo para iOS e Android ainda não foi testada. Zoom agradeceu aos pesquisadores por encontrar um problema e afirmar que funciona em sua eliminação. A empresa diz que a vulnerabilidade só funciona no chat de zoom. O ataque deve vir do contato externo aceito ou usuário que tenha acesso à mesma conta de organização. O Zoom recomenda que os usuários recebam solicitações para adicionar aos contatos apenas das pessoas que conhecem e quais são confiáveis.
O zoom tem uma janela de 90 dias para a versão de um patch que elimina uma vulnerabilidade que é prática padrão para programas de divulgação de vulnerabilidades. Os usuários finais devem simplesmente esperar pela liberação de atualizações de segurança, no entanto, aqueles que estão seriamente preocupados com o problema, é recomendável alternar temporariamente para o uso da versão do navegador do zoom, que não está sujeito à vulnerabilidade.