Google揭露Zoom Meetings桌机、手机版软件有程式码执行漏洞

Zoom 上周修补会议产品2项漏洞，包括1个高风险的程式码执行漏洞，影响Zoom桌机、手机版会议软件Client for Meetings及其他产品。

这两个漏洞是由Google安全研究小组Project Zero研究人员Natalie Silvanovich通报。其中CVE-2021-34424为一高风险的缓冲溢位漏洞，CVSS 3.1风险值7.3，攻击者可能导致应用程序或服务当掉，或是利用该漏洞执行任意程式码。

CVE-2021-34423属于中度风险的内存泄露漏洞，可能导致用户端行程内存状态曝露，导致攻击者得以读取Zoom应用程序内存的任意区块。

同时受到这2项漏洞影响的产品，包括许多人在家工作或是和友人联系常用的Zoom Client for Meetings 5.8.4以前的版本，涵括Windows、macOS、Linux、Android及iOS版。较小平台版本也受影响，包括Zoom Client for Meetings for Chrome OS 5.0.1版本以前。其他还包括Zoom Rooms for Conference Room（Windows、macOS、Linux、Android及iOS版）、Zoom Meeting SDK for Android,iOS,Windows及macOS、Controllers for Zoom Rooms (for Android, iOS, and Windows)、Zoom VDI、本地部署版Zoom On-Premise Meetings Connector、Zoom On-Premise Virtual Room Connector及Zoom On-Premise Recording Connector等。

Zoom已经针对受影响的产品释出更新版，包括Zoom Client for Meetings 5.8.4、Zoom Rooms for Conference Room 5.8.3等。