سازمان فناوری اطلاعات ایران


مرکز ماهر طی گزارشی از

سرقت اطلاعات از طریق تزریق لینک UNC در برنامه Zoom



برنامه Zoom# یک ابزار مناسب ویدئو کنفرانس و ارسال پیام‌های گروهی است. آمارهای منتشرشده نشان می‌دهند این برنامه توسط بیش از ۵۰۰ هزار شرکت مورد استفاده قرار می‌گیرد. بر اساس اطلاعات موجود، می‌توان به راحتی و با دانلود و نصب آن از تمام امکانات برنامه به صورت رایگان استفاده کرد و ویدئو کنفرانس‌هایی تا ۱۰۰ نفر را برگزار کرد.

آسیب پذیری کشف شده در بخش گفت و گو در این برنامه به مهاجمان امکان سرقت اعتبارنامه های ویندوز و اجرای برنامه از طریق کلیک روی لینک‌های (UNC(Universal Naming Convention را می‌دهد. هنگامی که مشتری از کلاینت Zoom استفاده می کند شرکت کنندگان در جلسه میتوانند با یکدیگر توسط فرستادن پیام متنی در رابط گفت و گو ارتباط برقرار کنند. هنگام ارسال پیام در صفحه گفت و گو، کلیه URL های فرستاده شده، به Hyperlink تبدیل شده و سایر اعضا می‌توانند با کلیک بر روی آن، یک صفحه وب در مرورگر پیش فرض باز کنند. 

برای اطلاعات دقیق در مورد این آسیب پذیری میتوانید به لینک زیر مراجعه نمایید.


دریافت فایل ضمیمه