Ni ne havis tempon ke retpiratoj uzas falsajn Zoom-domajnojn por distribui malware, ĉar oni sciis pri nova vundebleco en ĉi tiu interreta konferenca programo. Rezultas, ke la Zoom-kliento por Vindozo permesas al atakantoj ŝteli uzantajn akreditaĵojn en la operaciumo per UNC-ligo sendita al la interparolanto en la babilfenestro.
Hackers povas uzi la "» por akiri la ensaluton kaj pasvorton de la uzantkonto de OS. Ĉi tio povas esti pro la fakto, ke Vindozo sendas akreditaĵojn kiam li konektas al fora servilo por elŝuti dosieron. Ĉio, kion la atakanto devas fari, estas sendi ligon al la dosiero al alia uzanto per Zoom-babilejo kaj konvinki la alian personon alklaki ĝin. Malgraŭ la fakto, ke Vindozaj pasvortoj estas transdonitaj en ĉifrita formo, la atakanto, kiu malkovris ĉi tiun vundeblecon, asertas, ke ĝi povas esti deĉifrita per la taŭgaj iloj se la pasvorto ne estas sufiĉe kompleksa.
Ĉar la populareco de Zoom kreskis, ĝi estis ekzamenata de la cibersekureckomunumo, kiu komencis pli detale rigardi la malfortojn de la nova videokonferenca programaro. Antaŭe, ekzemple, oni malkovris, ke la fin-al-fina ĉifrado deklarita de la programistoj de Zoom efektive forestis. Vulnerabileco malkovrita pasintjare, kiu ebligis malproksime konekti al Mac-komputilo kaj ŝalti la videokameraon sen la permeso de la posedanto, estis riparita de la programistoj. Tamen, solvo al la problemo kun UNC-injekto en Zoom mem ankoraŭ ne estis raportita.
Nuntempe, se vi bezonas labori per la aplikaĵo Zoom, oni rekomendas aŭ malŝalti la aŭtomatan translokigon de NTML-akreditaĵoj al la fora servilo (ŝanĝi la agordojn de la sekureca politiko de Vindozo), aŭ simple uzi la klienton Zoom por navigi interreton.
fonto: 3dnews.ru