407/67 (IT) ประจำวันศุกร์ที่ 15 พฤศจิกายน 2567
Zoom ได้แก้ไขช่องโหว่จำนวน 6 รายการ ใน video conferencing และ communication platform โดยมีช่องโหว่จำนวน 2 รายการที่มีความรุนแรงสูง ซึ่งผู้โจมตีจากระยะไกลสามารถใช้ประโยชน์เพื่อยกระดับสิทธิ์หรือการรั่วไหลของข้อมูลที่มีความละเอียดอ่อน โดยช่องโหว่ทั้งสองถูกค้นพบโดยทีม Zoom Offensive Security ซึ่งมีรายละเอียดของช่องโหว่ดังนี้
– ช่องโหว่ CVE-2024-45421 (CVSS คะแนน : 8.5) เป็นช่องโหว่ buffer overflow ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนสามารถใช้ประโยชน์จากช่องโหว่ได้
– ช่องโหว่ CVE-2024-45419 (CVSS คะแนน : 8.5) เป็นช่องโหว่ improper input validation ที่สามารถถูกใช้ประโยชน์ได้จากระยะไกลโดยไม่ต้องมีการยืนยันตัวตน
นอกจากนี้ Zoom ยังแก้ไขช่องโหว่ระดับความรุนแรงปานกลางอีก 4 รายการ ดังนี้
– ช่องโหว่ CVE-2024-45422: เป็นช่องโหว่ improper input validation ทำให้ผู้โจมตีที่ที่ผ่านการยืนยันตัวตน สามารถใช้ประโยขน์ เพื่อทำให้เกิดการปฏิเสธการให้บริการ (DoS) ผ่านการเข้าถึงเครือข่าย
– ช่องโหว่ CVE-2024-45420: เป็นช่องโหว่ Uncontrolled Resource Consumption อาจถูกใช้โดยผู้ใช้งานที่ได้รับการรับรองเพื่อทำให้ระบบหยุดทำงานผ่านการเข้าถึงเครือข่าย
– ช่องโหว่ CVE-2024-45418: เป็นช่องโหว่ Symbolic Link ในแอป Zoom บน macOS
– ช่องโหว่ CVE-2024-45417: เป็นช่องโหว่ Uncontrolled Resource Consumption ใน Zoom Apps บน macOS
โดยช่องโหว่เหล่านี้ส่งผลกระทบต่อ Zoom Workplace App, Rooms Client, Rooms Controller, Video SDK, และ Meeting SDK ก่อนเวอร์ชัน 6.2.0 รวมถึง Workplace VDI Client for Windows ก่อนเวอร์ชัน 6.1.12 (ยกเว้น 6.0.14) ทางZoom แนะนำให้ผู้ใช้งานอัปเดตแอปพลิเคชันให้เป็นเวอร์ชันล่าสุดโดยเร็วเพื่อป้องกันการถูกโจมตีที่อาจเกิดขึ้น
แหล่งข่าว https://securityaffairs.com/170861/security/zoom-fixed-two-high-severity-flaws.html