Проблема позволяет раскрыть конфиденциальную информацию пользователей другим участникам звонка.
Исследователи безопасности Майкл Страметц (Michael Strametz) и Маттиас Диг (Matthias Deeg) из компании SySS обнаружили уязвимость (CVE-2021-28133) функции совместного использования экрана Zoom, из-за которой конфиденциальная информация пользователей может быть передана другим участникам звонка.
Обнаруженная проблема позволяет выявлять содержимое приложений, которые не используются совместно, а лишь на короткое время, затрудняя эксплуатацию уязвимости в реальных атаках. Функция совместного использования экрана в Zoom позволяет пользователям коллективно использовать весь рабочий стол или экран телефона или ограничить совместное использование одним или несколькими конкретными приложениями или частью экрана. Проблема возникает из-за того, что второе приложение, запущенное поверх уже совместно используемого приложения, может раскрыть его содержимое в течение короткого периода времени.
«Когда пользователь Zoom предоставляет доступ к определенному окну приложения с помощью функции «поделиться экраном», другие участники встречи могут на короткое время увидеть содержимое других окон приложений», — отметили исследователи.
Эксперты обнаружили проблему в версиях Zoom 5.4.3 и 5.5.4 для ОС Windows и Linux и сообщили компании о своих находках 2 декабря 2020 года. С тех пор прошло уже три месяца, однако компания не выпустила исправление для данной уязвимости. Предположительно, это может быть связано со сложностью ее эксплуатации в реальных атаках.
В Матрице безопасности выбор очевиден