Zoom公司于周四修复了两个零日漏洞,仅在安全研究人员在其个人博客上发布该漏洞的一天后。
苹果企业软件供应商Jamf公司首席安全研究员Patrick Wardle在周三的博客中报告了两个Zoom零日漏洞。
第一个漏洞允许本地用户获得macOS版本的Zoom的根级特权–通过Zoom最近发现预安装脚本。简而言之,它会自动安装该应用,而无需用户手动安装。第二个macOS零日漏洞使攻击者能够安装恶意代码,从而使他们能够控制网络摄像头和麦克风。
在最初的博客文章中,Wardle是美国国家安全局的前安全工程师,他没有解释为什么他在未通知该公司或未遵循负责任的披露做法的情况下发布Zoom零日漏洞。
当SearchSecurity要求Zoom公司发表评论时,该公司提供了以下声明:“我们正在积极研究并致力于解决这些问题,我们正在更新我们的安装程序以解决问题,并将更新我们的客户端以缓解麦克风和摄像头的问题。”
在Zoom零日漏洞发布的数小时内,该公司修复了Wardle发现的漏洞,以及本周早些时候披露的另一个漏洞,该漏洞使Windows上的攻击者可以窃取Windows登录凭据并通过单击UNC链接来运行程序。
Zoom公司创始人兼首席执行官Eric Yuan在给用户的公开消息中说,该公司将致力于提供资源以“更好地主动识别、解决和修复问题。”他承诺改善Zoom的当前漏洞赏金计划、执行渗透测试并立即部署功能以“有效利用我们所有的工程资源以专注于我们最大的信任、安全和隐私问题。”
尽管Wardle在博客文章中对Zoom提出了严厉批评,但Wardle在Twitter上向该公司表示了“赞誉”,因为他们在发布补丁方面反应迅速。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号

TechTarget
官方微博

TechTarget中国
翻译
相关推荐
-
了解SBOM格式:企业指南
软件物料清单(SBOM)列出了企业中使用的每个应用程序。这个清单包含应用程序组件、依赖项和库,该标准清单通过提 […]
-
SecOps即将发生变化:你准备好了吗?
我们即将见证安全运营史上最大变化。代理AI正在带来新水平的自动威胁检测、分析、调查和响应,而且正在迅速到来。 […]
-
什么是数据风险管理?关键风险和最佳做法
数据风险管理是风险管理的一种特定形式,通常涉及数据隐私、安全性、可接受使用政策、立法指令或法规合规性。其目的是 […]
-
RSAC 2025:是时候采用加密灵活性
可能还有5年、10年或15年,但量子计算机很快会到来。企业现在必须为那一天做好准备,其中一种方法是采用加密灵活 […]