В апреле и мае 2020 года специалисты из команды по информационной безопасности Cisco Talos обнаружили в Zoom две критические уязвимости. Злоумышленник мог использовать каждую из этих ошибок в приложении сервиса и получить удаленный доступ к компьютеру, пользователь которого принимал участие в групповом звонке. После получения всей необходимой информации от экспертов Cisco Talos компания Zoom внесла исправления в серверную часть сервиса, также была изменена пользовательская часть. В настоящее время разработчик сервиса видеоконференций устранил эти уязвимости в новой версии Zoom 4.6.12. Пользователям рекомендуется обновить свой клиент, так как уязвимостям подвержен Zoom Client for Windows версий 4.6.11 и 4.6.10.
Первая найденная Cisco Talos уязвимость — CVE-2020-6109 (опасность средняя, CVSSv3 рейтинг 8.5). В серверной части Zoom используется сторонний сервис Giphy, с помощью которого пользователи могут искать и обмениваться в чате видеоконференции анимированными GIF-изображениями. Оказалось, что Zoom не проверяет корректность загрузки GIF на ПК пользователя, всегда считая, что они не скомпрометированы и поступают с серверов Giphy. Однако, злоумышленник может встраивать свой код в передаваемые им сообщения, содержащие GIF и выполнить обход каталога в Zoom Client application. Полное описание этой уязвимости доступно на портале Cisco Talos.
Вторая найденная Cisco Talos уязвимость — CVE-2020-6110 (опасность средняя, CVSSv3 рейтинг 8.5). Она также позволяет злоумышленнику выполнить обход каталога в Zoom Client application и связана с чатом Zoom, который выполнен разработчиками на основе классического XMPP с дополнительными расширениями для поддержки расширенного взаимодействия с пользователем. Таким образом, в чате Zoom можно выполнить вставку сниппетов с вредоносным кодом, который передается клиенту Zoom в форме ZIP-архива. Далее этот архив распаковывается на ПК жертвы, причем в ходе этого процесса нет проверки на наличие внутри архива вредоносного кода. Это позволяет злоумышленнику осуществить передачу и установку двоичного (бинарного) файла на атакуемый им компьютер. Полное описание этой уязвимости доступно на портале Cisco Talos.
Ранее в конце апреля стало известно, что уязвимости сервиса видеоконференций Zoom были давно известны компаниям, которые сотрудничали с платформой. Например, Dropbox даже платила хакерам, чтобы найти ошибки в программном обеспечении компании, а затем надавила на Zoom, чтобы те исправили их.
Saiv46
Можно бесконечно смотреть на три вещи:
Как горит огонь
Как текут персональные данные
Как в Zoom находят уязвимости
0xf0a00
4. Как глава Zoom строит планы по завоеванию мира так слово альтернатив не существует, а сам Zoom — best of the best.
eumorozov
На прошлой работе использовали Skype, Hangouts, и черт знает что еще. Все работало нестабильно и плохо.
На текущей работе используем Zoom. За последние три месяца — ни единой проблемы.
powerman
Проблем полно, просто это проблемы другого рода, не с качеством связи, а безопасностью и приватностью.
Angmarets
Больше года на Teams, полёт нормальный
namikiri
Поддерживаю Teams. Работает отлично, за исключением случаев, когда у коллег действительно нестабильный интернет.
Murimonai
Lifesize? Bluejeans? Да тот же Slack, наконец? Тезис выше был таки в том, что альтернатив вагон и немаленькая тележка. И даже если среди этого вороха приложений найдется парочка не очень удачных (презрительный плевок в сторону скайпа), достойных аналогов Zoom (о котором я вообще впервые месяц назад услышал) остается еще очень много.
eugene08
Bluejeans — редкое говно, пришлось поставить ради одного звонка, оказалось нет нормального способа завершить приложение (по крайней мере на маке), только сносить. В этом плане зум хоть немного лучше тем что можно полностью кильнуть.
Dima_Sharihin
Если у вас 5 человек в конфе — то будет работать решительно все. А если 50-100, и у многих из них железо не топовое или интернет мобильный — то тут системы начинают сдавать одна за другой.
Mihisa
Есть discord, там лимит на голосовые чаты без лимита, а на видеочаты сейчас лимит 50 человек.
VEG
У Zoom есть важные преимущества — он отлично оптимизирован, быстро работает на древнем железе, и поддерживает аудио-видео звонки с огромным числом людей.
Как-то принимал участие в созвоне на 600 человек, 250 из которых полкючились с видео (на экране они показываются по 25 человек одновременно, с пагинацией). Я был подключён со старого ноута, которому больше 10 лет, и который даже на момент покупки не считался мощным (3 гига оперативы всего, слабенький двухъядерный процессор). Так вот представьте, оно совершенно не тормозило. Я не заметил какой-то особой разницы с тем, как он работает на современных 8-ядерных машинах с 16 гигами оперативы. Только что на новых машинах запускается быстрее. Я после этого прям зауважал его разработчиков. Будто Zoom писался намеренно так, чтобы работать прям на любом возможном железе, которое ещё может потенциально быть в ходу. Мало кто в наши дни таким может похвастаться. Пожинаем плоды популярного подхода «и так сойдёт, железо дешёвое».