Gần đây, các chuyên gia đã phát hiện một loạt lỗ hổng nghiêm trọng trong Zoom – phần mềm gọi video trực tuyến nổi tiếng của Zoom Video Communications.
Lỗ hổng thứ nhất, CVE-2023-34113 (điểm CVSS: 8,0) được phát hiện trên máy khách Windows của Zoom từ phiên bản 5.14.0 trở về trước. Lỗ hổng này xuất phát từ việc thiếu xác thực dữ liệu, có thể bị khai thác bởi một người dùng đã được xác thực dẫn đến leo thang đặc quyền thông qua truy cập mạng.
Lỗ hổng thứ 2, CVE-2023-34114 (điểm CVSS: 8,3) cho phép tin tặc được xác thực tiết lộ thông tin thông qua truy cập mạng. Ảnh hưởng đến các phiên bản Zoom trước 5.14.10 cho cả máy khách Windows và MacOS.
Lỗ hổng thứ 3, CVE-2023-34122 (điểm CVSS: 7,3) do việc xác thực đầu vào không chính xác trong trình cài đặt cho các máy khách Windows của Zoom từ phiên bản 5.14.0 trở về trước. Người dùng được xác thực có thể khai thác lỗ hổng này để leo thang đặc quyền thông qua truy cập cục bộ.
Lỗ hổng thứ 4, CVE-2023-34120 (điểm CVSS: 8,7), liên quan tới việc quản lý đặc quyền không phù hợp ảnh hưởng đến các máy khách Windows của Zoom, cũng như Zoom Rooms cho Windows và Zoom VDI cho máy khách Windows – tất cả các phiên bản trước 5.14.0. Lỗ hổng cho phép người dùng được xác thực leo thang đặc quyền thông qua truy cập cục bộ.
Lỗ hổng thứ 5, CVE-2023-28598 (điểm CVSS: 7,7), là lỗ hổng kiểm soát truy cập không phù hợp trong trình cài đặt máy khách VDI của Zoom, từ phiên bản 5.14.0 trở về trước. Tin tặc có thể khai thác lỗ hổng này để xóa các tệp cục bộ mà không cần quyền thích hợp.
Người dùng được khuyến nghị áp dụng các bản cập nhật hoặc tải xuống phần mềm Zoom mới nhất có chứa tất cả các bản cập nhật bảo mật hiện tại từ trang web của hãng để đảm bảo an toàn.
Nguồn: Security Online