امنیت

امینت

December 17, 2023
8:40 یکشنبه، 26ام آذرماه 1402
کد خبر: 154718

کشف آسیب‌پذیری‌های متعدد در نرم‌افزار جلسات آنلاین Zoom

منبع: ماهر

به تازگی آسیب‌پذیری‌های جدیدی در نسخه تلفن همراه و دسکتاپ نرم‌افزار Zoom کشف شده است. نرم‌افزار محبوب برگزاری جلسات تصویری Zoom با مشکلات امنیتی در نسخه‌های دسکتاپ و تلفن همراه روبه‌رو است که امکان ارتقاء سطح دسترسی (privilege escalation) را برای مهاجم فراهم می‌کند. این امر ممکن است ناشی از خطا در سیستم، تنظیمات نادرست یا کنترل‌های دسترسی ناکافی باشد.

• آسیب‌پذیری‌های Zoom در نسخه تلفن همراه:
1. CVE-2023-43583 – مشکلات رمزنگاری:
– این آسیب‌پذیری با شدت متوسط CVSS 4.9 به مشکلات رمزنگاری در SDKهای Zoom در سیستم‌عامل‌های Android و iOS اشاره دارد که اجازه می‌دهد مهاجم اطلاعات خصوصی را از طریق دسترسی خود افشا کند.
2. CVE-2023-43585 – کنترل دسترسی نادرست:
– این آسیب‌پذیری با شدت CVSS 7.1 به مشکلات کنترل دسترسی نادرست در نرم‌افزار Zoom سیستم‌عامل iOS اشاره دارد که در نسخه‌های قبل از 5.16.5، به کاربر تأییدشده امکان دسترسی به اطلاعات از طریق دسترسی شبکه را فراهم می‌کند.

• آسیب‌پذیری‌های Zoom در نسخه دسکتاپ:
1. CVE-2023-43586 – پیمایش مسیر (Path Traversal):
– این آسیب‌پذیری با شدت CVSS 7.3 به اجازه به کاربر مجاز امکان اجرای یک حمله برای ارتقاء سطح دسترسی از طریق دسترسی به شبکه در نسخه دسکتاپ Zoom، Zoom VDI Client و Zoom SDK برای ویندوز را می‌دهد.
2. CVE-2023-36540 – مسیر جستجوی ناامن:
– این آسیب‌پذیری با شدت CVSS 7.3 به مشکلات کنترل دسترسی نادرست در نصب‌کننده Zoom برای ویندوز اشاره دارد. نسخه‌های قبل از 5.14.5 این نرم‌افزار به مهاجم اجازه ارتقاء سطح دسترسی از طریق یک مسیر جستجوی ناامن را خواهد داد.
3. CVE-2023-36541 – عدم تأیید اعتبار داده‌ها:
– این آسیب‌پذیری با شدت CVSS 8 به عدم تأیید اعتبار داده‌ها اشاره دارد. در نسخه‌های قبل از 5.14.5 تأیید اعتبار داده‌های ناکافی ممکن بوده و برای کاربر تأییدشده از طریق دسترسی شبکه امکان ارتقاء سطح دسترسی را فراهم می‌کرده است.
4. CVE-2023-36534 – مسیر جستجوی ناامن:
– این آسیب‌پذیری با شدت CVSS 9.3 به مشکلات کنترل دسترسی نادرست از طریق دسترسی شبکه در نسخه 5.14.7 Zoom برای ویندوز اشاره دارد.
5. CVE-2023-39216 – اعتبارسنجی ورودی نادرست:
– این آسیب‌پذیری با شدت CVSS 9.6 به مشکلات اعتبارسنجی ورودی نادرست از طریق دسترسی شبکه در نسخه 5.14.7 Zoom برای ویندوز اشاره دارد.
6. CVE-2023-39213 – عدم بررسی ورودی برنامه:
– این آسیب‌پذیری با شدت CVSS 9.6 به مشکلات بررسی نشدن ورودی برنامه در نسخه 5.14.7 Zoom برای ویندوز و Zoom VDI Client اشاره دارد.

توصیه‌های امنیتی
جهت جلوگیری از مشکلات امنیتی در نرم‌افزار Zoom و به حداقل رساندن مخاطرات احتمالی، می‌توانید از راهکارهای زیر استفاده کنید:
1. به‌روزرسانی نرم‌افزار: اطمینان حاصل کنید که نرم‌افزار Zoom در دستگاه‌های شما به‌روز شده باشد.
2. تنظیمات امنیتی: از تنظیمات امنیتی قابل دسترسی در Zoom استفاده کنید. برای مثال، استفاده از رمز عبور برای جلسات، فعال کردن “Waiting Room” برای کنترل ورود به جلسات و استفاده از تنظیمات دیگر امنیتی که توسط Zoom ارائه شده‌اند.
3. استفاده از حساب‌های با امنیت بالا: از حساب‌های Zoom با سطح امنیت بالاتر مثل حساب‌های Pro یا Business استفاده کنید. این حساب‌ها امکانات امنیتی بیشتری را فراهم می‌کنند.

 

منبع

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.