Zoom两安全漏洞可让骇客执行任意程式码

思科安全研究团队Talos Intelligence发现Zoom两项安全漏洞，可能导致攻击者在受害电脑上执行任意程式码，或者结合其他漏洞。在思科团队的通知下，Zoom已经完成修补。

Zoom的通话功能是跑在XMPP标准上，并以其他扩充功能增加讯息丰富度，而二项漏洞都是和扩充功能有关，一是支援包含GIF动画档，二是支援包含程式码片段。

第一项漏洞CVE-2020-6109为一项路径穿越（path traversal）漏洞，出在Zoom用户端处理包含GIF图档的讯息过程中。Zoom原本允许使用来自Giphy（现为脸书买下）服务器的动画图档，为讯息加入效果，但在本漏洞中，却让Zoom接收任何服务器的图档。这让骇客对单一用户或目标群组传送恶意讯息触发漏洞，造成任意档写入而引发任意程式码执行，结果为泄露资讯。

在CVE-2020-6109中，攻击者传送的档案可以.gif为副档名，但内容可能是执行档或脚本程式，协助开采其他漏洞。CVE-2020-6109 CVSS 3.0风险评分为8.5。

另一个漏洞编号CVE-2020-6110，则发生在Zoom用户端处理有共享程式码片段（code snippet）的讯息的过程中。Zoom分享程式码片段时会是以压缩档ZIP进行。不同于普通ZIP档，CVE-2020-6110下，ZIP接到的ZIP档若为共享程式码片段，会自动解压缩以便预览，而未验证ZIP档的内容档案。这使得攻击者得以植入任意二进制档，而在目标电脑上执行。而路径穿越问题，让这个ZIP档可以在原本应有的目录以外写入档案，进而开采其他漏洞，但研究人员指出，后者攻击需要使用者有动作。CVE-2020-6110 CVSS 3.0风险评分为8.0。

两项漏洞都影响Zoom 用户端4.6.10，而CVE-2020-6110还另外影响4.6.11版，包括Windows、macOS及Linux版本。CVE-2020-6109 CVSS 3.0风险评分为8.5，而在Talos Intelligence通报后，Zoom已经释出新版4.6.12版予以解决。