Deux failles majeures de sécurité détectées sur Zoom et ses serveurs multimédias
Avec le progrès, il n’est plus nécessaire d’être présent physiquement pour accomplir certaines tâches grâce à l’apparition des plateformes de réunion en ligne et de télétravail. C’est ainsi que le logiciel Zoom est né. Récemment, une experte a mis le doigt sur deux brèches de sécurité majeures dans le système qui pourraient être utilisées par les pirates. De plus, les serveurs MMR utilisés par ladite plateforme rencontrent aussi quelques problèmes.
En réalité, les deux bogues rencontrés concernent la vulnérabilité du dépassement de la mémoire tampon et une faille d’exposition de la mémoire de processus. Ces deux failles pourraient être utilisées par des personnes malveillantes pour faire planter la plateforme ou encore avoir un aperçu de zones arbitraires de la mémoire du produit.
La découverte de ces vulnérabilités majeures de Zoom est attribuée à Natalie Silvanovich, une experte en sécurité informatique de Google Project Zero. Cette dernière intervient aussi dans une multitude d’autres projets de Google.
Deux potentielles portes d’entrée pour les pirates
En effet, les défaillances remarquées auraient ouvert la voie au piratage sans clic, une attaque furtive qui ne laisse pas de traces. En outre, les failles repérées (CVE-2021-34423 de score CVSS : 9,8 et CVE-2021-34424 de score CVSS : 7,5) datent du 24 novembre 2021 et ont déjà été corrigées à ce jour. Le premier défaut concerne la mémoire tampon. Une surcharge de cette dernière pourrait donner la main à l’exécution de codes malveillants et arbitraires.
Le deuxième bogue quant à lui se situe au niveau de la mémoire du processus. En l’utilisant, les pirates pourraient avoir un aperçu de zones arbitraires de la mémoire du produit. Par ailleurs, une analyse du RTP (Real-time Transport Protocol) a révélé qu’il était possible de manipuler des données pouvant induire en erreur les clients Zoom et les serveurs MMR (Multimedia Router).
Une défaillance affectant aussi les serveurs multimédias
En poussant ses recherches, Natalie Silvanovich a aussi déniché quelques problèmes liés aux serveurs multimédias. Ces erreurs seraient dues au manque d’ASLR (address space layout randomization). Natalie déclare à cet effet : « Le manque d’ASLR dans le processus Zoom MMR a considérablement augmenté le risque qu’un attaquant puisse le compromettre.»
Cette dernière a aussi dénoncé le fait que Zoom utilise des bibliothèques propriétaires alors que toutes les autres plateformes de visioconférence utilisent des open-sources. Cet acte a pour conséquence directe de faire augmenter les frais de licence.
Enfin, l’experte en sécurité informatique acheva ses propos en ces termes : « Les logiciels à source fermée présentent des défis de sécurité uniques, et Zoom pourrait faire plus pour rendre leur plateforme accessible aux chercheurs en sécurité et à d’autres qui souhaitent l’évaluer. »
SOURCE : THEHACKERNEWS
Encore une faille sr zoom, ce n’est vraiment pas la meilleure plate-forme.
Oui,mais je pense que ça peut arriver à tout le monde ces failles. Majeures ou pas.
Bonjour, les deux 2 CVE mentionnées dans l’article datent du 24 novembre 2021 et ont été rectifiées à cette date là. Elles sont sont listées sur le site de Zoom https://explore.zoom.us/en/trust/security/security-bulletin/