Група дослідників безпеки Computest Security виявила кілька вразливостей нульового дня в Zoom на змаганні Pwn2Own 2021 по злому популярного програмного забезпечення. Вони дозволяли хакерам отримати управління над комп’ютером, навіть якщо жертва не скоювала жодних дій.
We're still confirming the details of the #Zoom exploit with Daan and Thijs, but here's a better gif of the bug in action. #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW
— Zero Day Initiative (@thezdi) April 7, 2021
Інформації про них у відкритий доступ викладено мало. Дослідники використовували ланцюжок з трьох помилок в програмному коді десктопного додатка. Згідно з даними MalwareBytes Labs, атака повинна виходити від користувача, від якого ви приймаєте виклик.
Дослідники, що знайшли помилки, отримали за це $ 200 000. Це був перший раз, коли в конкурсі була представлена категорія «Корпоративні комунікації». Zoom був учасником і спонсором Pwn2Own 2021.
