摘要:根据最新发现,Zoom屏幕共享功能的一个新故障可能会意外地将敏感信息泄露给其他电话参与者。跟踪为CVE-2021-28133,该未修补的安全漏洞使其有可能显示未共享的应用程序的内容,但只是短暂的,从而使其难以在野生环境中被利用。值得指出的是,Zoom中的屏幕共享功能允许用户共享整个桌面或手机屏幕,或限制共享一个或多个特定应用程序,或屏幕的一部分。这个问题源于这样一个事实:覆盖在已经共享的应用程序之上的第二个应用程序可以在很短的时间内显示其内容。“当一个Zoom用户通过‘共享屏幕’功能共享一个特定的应用程序窗口时,其他会议参与者可以简单地看到其他应用程序窗口的内容,这些内容没有被明确地共享。

新的缩放屏幕共享漏洞让其他用户访问受限制的应用程序-浩海云安全中心

根据最新发现,Zoom屏幕共享功能的一个新故障可能会意外地将敏感信息泄露给其他电话参与者。

跟踪为CVE-2021-28133,该未修补的安全漏洞使其有可能显示未共享的应用程序的内容,但只是短暂的,从而使其难以在野生环境中被利用。

值得指出的是,Zoom中的屏幕共享功能允许用户共享整个桌面或手机屏幕,或限制共享一个或多个特定应用程序,或屏幕的一部分。这个问题源于这样一个事实:覆盖在已经共享的应用程序之上的第二个应用程序可以在很短的时间内显示其内容。

SySS研究人员Michael Strametz和Matthias Deeg指出:“当一个Zoom用户通过‘共享屏幕’功能共享一个特定的应用程序窗口时,其他会议参与者可以简单地看到其他没有被明确共享的应用程序窗口的内容。”“例如,当非共享应用程序窗口覆盖共享应用程序窗口并成为焦点时,其他用户可能会在短时间内看到非共享应用程序窗口的内容。”

该漏洞在Windows和Linux客户端5.4.3和5.5.4版本上进行了测试,据称已于2020年12月2日透露给这家视频会议公司。甚至在三个月后也没有修复,部分原因可能是很难利用这个漏洞。

但是,这可能会造成严重后果取决于不经意间共享数据的性质,研究人员警告说,添加一个恶意变焦会议的参与者可以利用的弱点,利用屏幕捕获工具会议记录和回放录音来查看私人信息。

Zoom发言人表示,公司正在努力解决这个问题。“Zoom严肃对待所有关于安全漏洞的报告,”该公司通过电子邮件告诉黑客新闻。“我们意识到了这个问题,并正在努力解决。”