亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Zoom會議客戶端遠程代碼執行漏洞CVE-2020-6110指的是什么

發布時間:2021-12-20 18:19:54 來源:億速云 閱讀:129 作者:柒染 欄目:大數據

Zoom會議客戶端遠程代碼執行漏洞CVE-2020-6110指的是什么,很多新手對此不是很清楚,為了幫助大家解決這個難題,下面小編將為大家詳細講解,有這方面需求的人可以來學習下,希望你能有所收獲。

0x00 漏洞背景

2020年06月09日, 360CERT監測發現 Talos安全研究團隊 發布了 Zoom客戶端遠程代碼執行 的風險通告,該漏洞編號為 CVE-2020-6110,漏洞等級:高危

Zoom 是一款多人云視頻會議軟件,為用戶提視頻會議與移動網絡會議功能的云視頻通話服務。

Zoom客戶端 存在 目錄穿越漏洞/文件覆蓋漏洞遠程攻擊者 通過 在會議中分享惡意壓縮文件,可以造成 遠程代碼執行

對此,360CERT建議廣大用戶及時安裝最新補丁,做好資產自查以及預防工作,以免遭受黑客攻擊。

0x01 風險等級

360CERT對該漏洞的評定結果如下

評定方式等級
威脅等級高危
影響面一般

0x02 漏洞詳情

根據 Talos的分析報告

Zoom 客戶端在實現代碼片段分享功能時,采用了一些較為不安全的技術方案。

  1. 采用了 XMPP 對消息內容進行封裝

  2. 采用 ZIP 對分享的代碼進行打包傳輸

Zoom 的XMAPP通信功能存在以下隱患:

  1. 邏輯未經過嚴格的校驗,允許用戶篡改并發布惡意內容至其他用戶

  2. 消息以明文進行傳輸

Zoom的解壓功能中存在漏洞,因此導致目錄穿越并覆蓋目標文件。Zoom的解壓功能存在以下隱患:

  1. 文件名構造允許以目錄穿越形式

  2. 任意擴展名結尾都可以被解壓

  3. 允許客戶端自動解壓接收到的壓縮包,并且未對壓縮包內容進行驗證

因此攻擊者可以遠程向其他用戶投遞惡意文件,并觸發文件覆蓋操作,最終導致遠程代碼執行。

0x03 影響版本

  • Zoom Client Application:4.6.10

  • Zoom Client Application:4.6.11

0x04 修復建議

臨時修補建議:

升級到 Zoom Client Application 4.6.12

0x05 產品側解決方案

360安全衛士

針對本次安全更新,Windows用戶可通過360安全衛士實現對應補丁安裝,其他平臺的用戶可以根據修復建議中的產品更新版本,對存在漏洞的產品進行更新。

看完上述內容是否對您有幫助呢?如果還想對相關知識有進一步的了解或閱讀更多相關文章,請關注億速云行業資訊頻道,感謝您對億速云的支持。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

城市| 郯城县| 乌鲁木齐市| 唐山市| 镇宁| 铜川市| 兴山县| 洛浦县| 宜昌市| 伽师县| 肇源县| 色达县| 交城县| 凤城市| 广昌县| 宜宾市| 金塔县| 浑源县| 阜新市| 磐石市| 桦川县| 固安县| 阿鲁科尔沁旗| 惠安县| 锡林郭勒盟| 邵武市| 辉县市| 邹平县| 奈曼旗| 民勤县| 东明县| 固阳县| 浦北县| 万安县| 嘉峪关市| 象州县| 伊春市| 大关县| 山阴县| 化州市| 西城区|