Ερευνητές ασφαλείας ανακάλυψαν μία νέα ευπάθεια στο Zoom που μπορεί εκμεταλλεύεται για την παραβίαση συστημάτων με Windows 7 τα οποία τρέχουν το πρόγραμμα τηλεδιασκέψεων.
Την Πέμπτη, η Σλοβένικη εταιρεία Acros Security αποκάλυψε, μέσω σχετικής πληροφορίας η οποία προέρχεται από έναν ανώνυμο ερευνητή, ότι μία ευπάθεια μπορεί να δημιουργήσει διόδους για την απομακρυσμένη εκτέλεση κώδικα, επιτρέποντας στον εισβολέα να κατεβάσει και να εγκαταστήσει κακόβουλο λογισμικό σε υπολογιστές με Windows 7.
Η Acros Security αποφεύγει την κοινοποίηση λεπτομερειών σχετικά με την ευπάθεια, με σκοπό να αποτρέψει την εκμετάλλευσή της από κακόβουλους χάκερ. Ωστόσο, η εταιρεία αναφέρει ότι η ευπάθεια επηρεάζει την έκδοση του Zoom για Windows. Πιθανώς, ο εισβολέας πρέπει να ξεκινήσει μία βιντεοδιάσκεψη με το θύμα και στη συνέχεια να το εξαπατήσει ώστε να εκτελέσει μία συγκεκριμένη ενέργεια, όπως το να ανοίξει ένα αρχείο κειμένου - τότε θα πραγματοποιηθεί η επίθεση χωρίς ο χρήστης να γνωρίζει τίποτα.
Σε μία δημοσίευση της, η Acros Security αναφέρει: "Αναλύσαμε το πρόβλημα και αποφασίσαμε ότι μπορεί κάποιος να το εκμεταλλευτεί μόνο σε συστήματα με Windows 7 ή παλαιότερα. Αν και η Microsoft σταμάτησε να υποστηρίζει επίσημα τα Windows 7 τον Ιανουάριο, εξακολουθούν να υπάρχουν εκατομμύρια οικιακοί και εταιρικοί χρήστες που συνεχίζουν να τα χρησιμοποιούν. (Πράγματι, τα Windows 7 εξακολουθούν να έχουν 23% μερίδιο στην αγορά του λειτουργικού συστήματος υπολογιστών.)
Μετά την αναφορά της ευπάθειας από την Acros Security, ένας εκπρόσωπος του Zoom δήλωσε: "Επιβεβαιώσαμε το συγκεκριμένο πρόβλημα και τη δεδομένη στιγμή ετοιμάζουμε μία ενημέρωση για την όσο το δυνατόν γρηγορότερη επίλυση του."
Δεν γνωρίζουμε γιατί η Acros Security αποφάσισε να αποκαλύψει την ευπάθεια πριν καν το Zoom μπορέσει να βρει κάποια λύση. Ωστόσο, η εταιρεία ανέφερε ότι ήταν σημαντικό να ενημερώσουν το κοινό για τους πιθανούς κινδύνους.
Ο Διευθύνων Σύμβουλος της Acros Security, Mitja Kolsek, δήλωσε μέσω email στο PCMag: "Δεν αποκαλύψαμε λεπτομέρειες για την ευπάθεια, διότι θα επέτρεπαν στους επιτιθέμενους να την εκμεταλυτούν - αποκαλύψαμε μόνο την ύπαρξη της και το micropatch μας. [...] Σύμφωνα με την μακροχρόνια πολιτική μας, δεν αποκαλύπτουμε λεπτομέρειες ούτε μετά το πέρας 90 ημερών, αν αυτές θα επιτρέψουν στους εισβολείς να επιτεθούν στους χρήστες."
Το "micropatch" της Acros Security για τη ευπάθεια είναι διαθέσιμο δωρεάν, αλλά για να το εγκαταστήσετε θα πρέπει να κατεβάσετε το λογισμικό 0patch της εταιρείας. Ο Kolsek πρόσθεσε πως δεν έχουν βρει στοιχεία ότι χάκερ εκμεταλλεύονται τη δεδομένη στιγμή την ευπάθεια.