Ny sårbarhet i Zoom medger Remote Code Execution (RCE)
Under tävlingen Pwn2Own som anordnas av Zero Day Initiative så har en ny sårbarhet identifierats i Zoom-klienten för Windows och macOS. Zero Day Initiative är en tävling där lag eller personer kan tävla om att identifiera och utnyttja sårbarheter i ett antal olika mjukvaror.
Tävlingen pågick mellan datumen 6-8 April och förutom en ny sårbarhet i Zoom så har även sårbarheter utnyttjats i Microsoft Exchange, Windows 10, Ubuntu Desktop, Parallels Desktop och Google Chrome.
Tweet med gif-animation när calc.exe poppas med hjälp av sårbarheten i Zoom:
Daan Keuper och Thijs Alkemade utnyttjade totalt tre olika buggar för att lyckas poppa calc i Zoom samt erhöll 1.7M SEK ($200,000) för detta.
För mer information se ZDI. Sårbarheten har ännu inte patchats av Zoom.