Оффлайн
- Регистрация
- 12.04.17
- Сообщения
- 19.095
- Реакции
- 107
- Репутация
- 0
Специалисты из компании Cisco Talos
Как сообщили исследователи, уязвимость затрагивает функцию в решении для видеоконференций, позволяющую находить контакты внутри организации. Поскольку чат Zoom основан на стандарте XMPP, клиент может отправить XMPP-запрос с указанием имени группы, которое в данном случае является доменом электронной почты для регистрации.
Уязвимость возникает из-за отсутствия проверки связи пользователя с запрашиваемым доменом. Таким образом злоумышленники могут запрашивать списки контактов произвольных доменов регистрации.
Для эксплуатации уязвимости злоумышленнику необходимо авторизоваться в учетной записи Zoom и затем отправить специально сформированное XMPP-сообщение, чтобы получить список пользователей, связанных с целевым доменом. В ответ на запрос сервер Zoom предоставит атакующему каталог пользователей, связанных с этим доменом.
«Это включает в себя такие подробности, как автоматически сгенерированные логины, а также имена и фамилии пользователей. Данная информация в сочетании с другими XMPP-запросами может быть использована для раскрытия дополнительной контактной информации, включая адрес электронной почты пользователя, номер телефона и любую другую информацию, присутствующей в файле vCard», — отметили эксперты.
По словам специалистов, компания Zoom уже устранила данную проблему.
Источник:
You must be registered for see links
уязвимость в сервисе для видеоконференций Zoom. Ее эксплуатация позволяет злоумышленнику идентифицировать всех зарегистрированных пользователей Zoom внутри определенной организации.Как сообщили исследователи, уязвимость затрагивает функцию в решении для видеоконференций, позволяющую находить контакты внутри организации. Поскольку чат Zoom основан на стандарте XMPP, клиент может отправить XMPP-запрос с указанием имени группы, которое в данном случае является доменом электронной почты для регистрации.
Уязвимость возникает из-за отсутствия проверки связи пользователя с запрашиваемым доменом. Таким образом злоумышленники могут запрашивать списки контактов произвольных доменов регистрации.
Для эксплуатации уязвимости злоумышленнику необходимо авторизоваться в учетной записи Zoom и затем отправить специально сформированное XMPP-сообщение, чтобы получить список пользователей, связанных с целевым доменом. В ответ на запрос сервер Zoom предоставит атакующему каталог пользователей, связанных с этим доменом.
«Это включает в себя такие подробности, как автоматически сгенерированные логины, а также имена и фамилии пользователей. Данная информация в сочетании с другими XMPP-запросами может быть использована для раскрытия дополнительной контактной информации, включая адрес электронной почты пользователя, номер телефона и любую другую информацию, присутствующей в файле vCard», — отметили эксперты.
По словам специалистов, компания Zoom уже устранила данную проблему.
Источник:
You must be registered for see links