Gần đây, các chuyên gia đã phát hiện hàng loạt lỗ hổng có nguy cơ cao trong Zoom – phần mềm gọi video trực tuyến nổi tiếng.
Các máy khách Windows của Zoom, từ phiên bản 5.14.0 trở về trước, đã được phát hiện có một lỗ hổng khá đáng lo ngại với mã định danh là CVE-2023-34113. Lỗ hổng này xuất phát từ việc xác minh không đủ tính xác thực của dữ liệu, một lỗ hổng bảo mật có thể bị khai thác bởi người dùng được xác thực dẫn đến leo thang các đặc quyền thông qua truy cập mạng. Với điểm Hệ thống chấm điểm lỗ hổng chung (CVSS) là 8, vấn đề này đặt ra một tình huống rủi ro cao, đòi hỏi phải giải quyết ngay lập tức.
Đồng thời, các máy khách MacOS và Windows của Zoom đang phải đối mặt với một tình trạng khó khăn khác. CVE-2023-34114, với điểm CVSS là 8.3, đề cập đến việc tiếp xúc của tài nguyên với vùng không hợp lệ.Các phiên bản bị ảnh hưởng bao gồm các phiên bản trước 5.14.10 cho cả máy khách Windows và MacOS.
CVE-2023-34122 đề cập đến xác thực đầu vào không đúng trong trình cài đặt cho các máy khách Windows của Zoom từ phiên bản 5.14.0 trở về trước. Người dùng được xác thực có thể khai thác lỗ hổng này, dẫn đến các đặc quyền leo thang thông qua truy cập cục bộ, gây ra rủi ro bảo mật cao với điểm CVSS là 7,3.
Trong hệ thống phân cấp của các mối đe dọa mạng, quản lý đặc quyền không đúng cách thường là lỗi nghiêm trọng. Các máy khách Windows của Zoom, cũng như Zoom Rooms cho Windows và Zoom VDI cho máy khách Windows – tất cả các phiên bản trước 5.14.0 cũng đang đối mặt với mối đe dọa này. Lỗ hổng CVE-2023-34120 (CVSS : 8,7), có thể cung cấp cho người dùng được xác thực khả năng cho phép leo thang đặc quyền thông qua truy cập cục bộ.
Ngoài ra, trình cài đặt máy khách VDI của Zoom, từ phiên bản 5.14.0 trở về trước chứa lỗ hổng kiểm soát truy cập không đúng cách, được gọi là CVE-2023-28598. Kẻ tấn công có khả năng khai thác lỗ hổng này để xóa các tệp cục bộ mà không cần quyền thích hợp. Lỗ hổng giữ điểm CVSS là 7,7 cho thấy tính nghiêm trọng cao.
Các máy khách Linux cho Zoom, trước phiên bản 5.13.10, cũng đang được xem xét kỹ lưỡng về lỗ hổng chèn HTML, được gọi là CVE-2023-28598. Nếu nạn nhân bắt đầu trò chuyện với kẻ tấn công, lỗ hổng này có thể dẫn đến ứng dụng Zoom bị sập, do đó gây ra tình huống rủi ro cao với điểm CVSS là 7,5.
Người dùng có thể ngăn chặn các mối đe dọa này bằng cách nhanh chóng áp dụng các bản cập nhật hoặc tải xuống phần mềm Zoom mới nhất có chứa tất cả các bản cập nhật bảo mật hiện tại từ trang web của hãng.