无码在线播放二区|久久亚洲精品国产精品|无码视频在线观看一区二区|在线观看国产日韩亚洲中

  • <menu id="yw4o4"></menu>
    • 

  • 
<menu id="yw4o4"><em id="yw4o4"></em></menu>
    • 
    
    
        
        
		
		  
        
    
    
        
    
            
    
                
    
				
				 
				 
    

							 
			 
                
                
    

                    
    
                        
    

                            
    

                                
    
                                    首頁 > 業(yè)界 > 關(guān)鍵詞
 > 漏洞最新資訊

                                     > 正文
                                
    

                                
    白帽黑客成功找到Zoom的遠(yuǎn)程代碼執(zhí)行漏洞  獲得20萬美元獎(jiǎng)勵(lì)
    

                                
    
                                        
    
                                            2021-04-10 15:30
                                                ·
                                            
                                            
                                                稿源:                                                    cnbeta
                                            

                                        
    

                                    
    
									
									
					 
						 

					 
			 
									
									
                                   
                                        
                                    
    

                                
    


                            
    
                            
    
                            
                            
    
							 
	

    據(jù)外媒報(bào)道,兩位荷蘭白帽安全專家參加了一年一度的電腦黑客大賽Pwn2Own,成功找到了Zoom的遠(yuǎn)程代碼執(zhí)行(RCE)漏洞,并且獲得了20萬美元的獎(jiǎng)勵(lì)。
    Pwn2Own是 "零日倡議 "組織的一項(xiàng)高規(guī)格活動(dòng),挑戰(zhàn)黑客在常用軟件和移動(dòng)設(shè)備中發(fā)現(xiàn)新的嚴(yán)重漏洞。舉辦該活動(dòng)的目的是為了證明流行的軟件和設(shè)備都有缺陷和漏洞,并為漏洞的地下交易提供一個(gè)平衡點(diǎn)。
    "目標(biāo) "自愿提供自己的軟件和設(shè)備,并對攻擊成功者給予獎(jiǎng)勵(lì)。粉絲們會(huì)看到一場黑客奇觀,成功的黑客會(huì)得到嘉獎(jiǎng)和不菲的現(xiàn)金(在這種情況下,獎(jiǎng)勵(lì)高達(dá)20萬美元),而廠商們則會(huì)找到令人討厭的漏洞。
    Pwn2Own 2021從4月6日至4月8日舉行。今年活動(dòng)的重點(diǎn)是在家工作(WFH)時(shí)使用的軟件和設(shè)備,包括Microsoft Teams和Zoom,原因顯而易見。
    白帽子
    受雇于網(wǎng)絡(luò)安全公司Computest的Keuper和Alkemade在Pwn2wn活動(dòng)的第二天結(jié)合三個(gè)漏洞接管了一個(gè)遠(yuǎn)程系統(tǒng)。這些漏洞不需要受害者的互動(dòng)。他們只需要在一次Zoom通話中。
    漏洞
    本著負(fù)責(zé)任的披露態(tài)度,該方法的全部細(xì)節(jié)一直處于保密狀態(tài)。我們知道的是,這是遠(yuǎn)程代碼執(zhí)行(RCE)漏洞:作為一類軟件安全漏洞,允許惡意行為者通過局域網(wǎng)、廣域網(wǎng)或互聯(lián)網(wǎng)在遠(yuǎn)程機(jī)器上執(zhí)行他們選擇的代碼。
    該方法在Windows和Mac版本的Zoom軟件上有效,但不影響瀏覽器版本。目前還不清楚iOS-和Android-app是否存在漏洞,因?yàn)镵euper和Alkemade并沒有對這些進(jìn)行研究。
    Pwn2Own組織在推特上發(fā)布了一張gif圖,展示了該漏洞的運(yùn)行情況。你可以看到攻擊者在運(yùn)行Zoom的系統(tǒng)上打開計(jì)算器。Calc.exe經(jīng)常被用作黑客在遠(yuǎn)程系統(tǒng)上打開的程序,以表明他們可以在受影響的機(jī)器上運(yùn)行代碼。
    可以理解的是,Zoom還沒來得及針對該漏洞發(fā)布補(bǔ)丁。他們有90天的時(shí)間來發(fā)布該漏洞的細(xì)節(jié),但預(yù)計(jì)他們會(huì)在這一時(shí)期結(jié)束之前完成。研究人員在Pwn2Own活動(dòng)的第二天就發(fā)現(xiàn)了這個(gè)漏洞,并不意味著他們在這兩天就想通了。他們會(huì)投入幾個(gè)月的研究來尋找不同的漏洞,并將它們組合成RCE攻擊。
    安全工作做得好
    這個(gè)事件,以及圍繞它的程序和協(xié)議,很好地展示了白帽黑客的工作方式,以及負(fù)責(zé)任的信息披露意味著什么。在以補(bǔ)丁的形式為每個(gè)人提供現(xiàn)成的保護(hù)之前,將細(xì)節(jié)留給自己(理解為供應(yīng)商會(huì)盡自己的責(zé)任,并迅速制作補(bǔ)?。?。
    緩解措施
    目前,只有這兩名黑客和Zoom知道這個(gè)漏洞的工作原理。只要保持這樣的狀態(tài),Zoom用戶就沒有什么好擔(dān)心的。對于那些擔(dān)心的人來說,據(jù)說瀏覽器版本是不會(huì)受到這個(gè)漏洞的影響的。對于其他的人來說,將需繼續(xù)關(guān)注補(bǔ)丁,在補(bǔ)丁出來后盡早更新。
    4月9日更新
    Zoom回應(yīng)了有關(guān)Pwn2Own活動(dòng)的文章。
    "我們感謝零日計(jì)劃允許我們贊助并參與Pwn2Own溫哥華2021大賽,這是一項(xiàng)突出安全研究人員所做的關(guān)鍵性和技能性工作的活動(dòng)。我們非常重視安全問題,非常感謝Computest的研究。
    我們正在努力緩解我們的群組消息產(chǎn)品Zoom Chat的這一問題。Zoom Meetings 和 Zoom Video Webinars 中的會(huì)話聊天不受此問題影響。攻擊還必須來自于已接受的外部聯(lián)系人,或者是目標(biāo)的同一組織賬戶的一部分。
    作為最佳實(shí)踐,Zoom建議所有用戶只接受來自他們認(rèn)識(shí)和信任的個(gè)人的聯(lián)系請求。如果您認(rèn)為自己發(fā)現(xiàn)了Zoom產(chǎn)品的安全問題,請將詳細(xì)的報(bào)告發(fā)送給我們信任中心的漏洞披露計(jì)劃。"
    


										
    
                                    
    舉報(bào)
    



                            
    


                            
                            
							
							
						 
							
							  
    
						 
							
                            
						
						
						
                                
							
							
						 
                            
    
                            

                        
    







                        
    


                            
    
                                
      
                                    
    • 相關(guān)推薦
      • 
                                    
                                
    

                                
    
                                    關(guān)鍵詞:
                                    
      
                                    
    

                                
    
                                
    
                                        
    
                                            
    
                                                
    
                                                    
                                                
    
                                            
    
                                        
    
                                    
                                
    


                            
    

                        
    

 

                    
    
                    
                        
    
    
        
    
           
		 
    
		 
		 
    
		 
		 
    
		 
    
		 
		  
		  
    
		 
		 
		 
		 
    
 
			
            
        
    


        
    

            
    

                
    
                    
                    熱文
                
    

            
    

            
        
    
 
        
    
            
    
                
    
                    
                    站長商機(jī)
                
    

            
    
            
    
                
    
                
            
    
			 
			
		
    
		
    
		廣告