Zoom软件爆出2个重大零日漏洞，影响客户端和MMR服务器

对视频会议软件 Zoom 的零点击攻击面的研究产生了2个以前未公开的重大安全漏洞，这些漏洞可能被利用来使服务崩溃、执行恶意代码，甚至泄露其内存的任意区域。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，零点击攻击的目标是偷偷控制受害者的设备，而不需要用户进行任何形式的交互，例如点击链接。这些问题影响了 Zoom 客户端和多媒体路由器 (MMR) 服务器，MMR服务器在本地部署中的客户端之间传输音频和视频内容。

虽然漏洞利用的细节会根据被利用漏洞的性质而有所不同，但零点击攻击者的一个关键特征是它们能够不留下恶意活动的痕迹，这使得它们很难被发现。

发现的两个重大漏洞如下：

• CVE-2021-34423（CVSS 评分：9.8） 一个缓冲区溢出漏洞，可用于使服务或应用程序崩溃，或执行任意代码。
• CVE-2021-34424（CVSS 评分：7.5） 一个进程内存暴露漏洞，可用于潜在地深入了解产品内存的任意区域。

通过分析用于通过 IP 网络传输音频和视频的 RTP（实时传输协议）流量，研究人员发现可以通过发送格式错误的聊天消息来操纵支持读取不同数据类型的缓冲区的内容，从而导致客户端和 MMR 服务器崩溃。

此外，由于缺少NULL检查（用于确定字符串的结尾），因此在通过 Web 浏览器加入 Zoom 会议时，可能会从内存中泄漏数据。

研究人员还将内存损坏缺陷归咎于 Zoom 未能启用ASLR，即地址空间布局随机化，这是一种旨在增加执行缓冲区溢出攻击难度的安全机制。

研究人员表示，Zoom MMR 过程中缺少 ASLR 极大地增加了攻击者可能破坏它的风险，ASLR 可以说是防止利用内存损坏的最重要的缓解措施，而大多数其他缓解措施在某种程度上依赖它才能有效。绝大多数软件没有充分的理由禁用它。

虽然大多数视频会议系统使用WebRTC或PJSIP等开源库来实现多媒体通信，但 Zoom 使用专有格式和协议以及高昂的许可费用是安全研究的障碍。

闭源软件带来了独特的安全挑战，Zoom 可以尝试让安全研究人员和其他希望对其进行评估的人可以访问他们的平台，虽然 Zoom 安全团队帮助我访问和配置服务器软件，但尚不清楚其他研究人员是否可以获得支持，并且软件许可仍然很昂贵。