2min

Tags in dit artikel

,

Google heeft twee kwetsbaarheden in Zoom gevonden. Clients van gebruikers bleken vatbaar voor buffer overflows en data van centrale Zoom servers was buiten het netwerk verkrijgbaar.

Natalie Silvanovich, securityonderzoeker bij Google Project Zero, vond de kwetsbaarheden. Zoom is op de hoogte gebracht van het probleem. De kwetsbaarheden (CVE-2021-34423 en CVE-2021-34424) zijn inmiddels gepatcht.

Ten eerste vond de onderzoeker een manier om de client van deelnemers in conferences met een enkel chatbericht te crashen. Ten tweede bleek het mogelijk om de data van centrale Zoom servers (on-premises en cloud MMR’s) op een client buiten het netwerk te lekken.

Silvanovich demonstreerde niet hoe de kwetsbaarheden voor een inbraak op netwerken en endpoints gebruikt kunnen worden. De onderzoeker vermoedt dat een aanvaller met voldoende tijd een manier had kunnen vinden. Ook Zoom is overtuigd. De organisatie heeft de kwetsbaarheden zo snel als mogelijk gepatcht.

ASLR

Silvanovich verbaasde zich tijdens het onderzoek over een gebrek aan Address Space Layout Randomization (ASLR). De technologie biedt een enorm effectief schild tegen aanvallen op het geheugen van applicaties (memory corruption), waaronder buffer overflows. ASLR was nooit door Zoom geïntegreerd. De technologie is op advies van Silvanovich toegevoegd.

Ruimte voor verbetering

Een onafhankelijke onderzoeker had de kwetsbaarheden niet of nauwelijks kunnen vinden. Project Zero sponsorde Silvanovich met ruim 1500 dollar (1300 euro) om de softwarelicenties van Zoom te kunnen betalen en testen. Zoom gebruikt geen open-source modules. De software is potdicht, wat kritische blikken buiten de deur houdt. Dat moet anders, aldus Silvanovich.

Tip: Hoe videoplatform Zoom zijn beveiliging op orde heeft gekregen