Phát hiện 3 lỗ hổng của phần mềm họp trực tuyến Zoom
08/12/2022
Phần mềm Zoom là một nền tảng hội họp trực tuyến phổ biến tại Việt Nam, cho phép nhiều người được kết nối với nhau trong một khoảng cách rất xa.
Tuy nhiên, theo Ban Cơ yếu an toàn thông tin, đã có 03 lỗ hổng mới được phát hiện trong ứng dụng Zoom có thể cho phép kẻ tấn công thực thi mã tùy ý và leo thang đặc quyền đối với người dùng root hoặc SYSTEM. Gồm: Lỗ hổng thứ nhất định danh CVE-2022-28768 liên quan đến quá trình cài đặt mà người dùng cục bộ đặc quyền thấp có thể khai thác lỗ hổng để nâng cấp lên quyền root. Lỗ hổng thứ hai định danh CVE-2022-36924 tồn tại trong quá trình cài đặt mà người dùng cục bộ đặc quyền thấp có thể khai thác lỗ hổng để nâng cấp đặc quyền lên SYSTEM. Lỗ hổng cuối cùng định danh CVE-2022-28766 được mô tả là lỗ hổng chèn DLL, ảnh hưởng đến các phiên bản Windows 32-bit của ứng dụng Zoom Client for Meeting trước phiên bản 5.12.6 và Zoom Rooms for Conference Room trước phiên bản 5.12.6. Người dùng cục bộ có đặc quyền thấp có thể khai thác lỗ hổng này để thực thi mã tùy ý trong ngữ cảnh của ứng dụng khách Zoom.
Do đó, để giảm thiểu mọi mối đe dọa tiềm ẩn phát sinh từ việc khai thác các lỗ hổng, người dùng cần khẩn trương cập nhật lên phiên bản Zoom mới nhất (5.12.8). Cách cập nhật như sau:
Đối với máy tính: Vào địa chỉ https://zoom.us/support/download để tải phần mềm mới nhất về và cài đặt.
Đối với điện thoại: Vào ứng dụng Google Play hoặc Apple App Store để thực hiện cài đặt/ cập nhật phiên bản Zoom mới nhất.
D. Huyền (tổng hợp)