黑客50万美元出售Zoom 0 day漏洞
今年以来,Zoom日活跃用户已经超过2亿人,与去年年底相比翻了20倍。但黑客和安全研究人员在zoom客户端中发现了一系列的安全问题。3月底,在被爆收集和发送设备信息到Facebook服务器后,Zoom从iOS app版本中移除了Facebook SDK。4月,有黑客在暗网论坛出售超过50万的Zoom账户,差不多一个账号0.00014元,1分钱能买71个。Zoom修复了一个macOS客户端的安全漏洞,攻击者利用该漏洞可以窃取用户的Windows NTLM凭证来远程启动可执行文件。
Zoom 0 day漏洞
近日,又有黑客在暗网出售影响Zoom Windows客户端的0 day远程代码执行漏洞利用代码,售价为50万美元。同时还附送一个Zoom macOS客户端的漏洞滥用代码。
这样的漏洞利用是没有固定价格的,国外漏洞交易平台Zerodium对此类漏洞利用的报价为2000到250万美元,具体价格根据受影响的软件或系统的流行程度、安全等级,以及提交的漏洞利用的质量不同而不同。
目前漏洞利用和源码还没有公开,熟悉0 day漏洞利用市场的相关人士介绍称,已有漏洞交易代理商业与之联系购买漏洞。漏洞交易平台Netragard创始人Adriel Desautels称出售的2个0 day漏洞一个影响macOS,另一个影响Windows系统。
Windows 0 day漏洞是一个远程代码执行漏洞,攻击者利用该漏洞可以在受影响的系统上远程执行任意代码,与其他漏洞组合可以完全控制设备。有知情人士称50万美元的价格是公正的,因为该漏洞可以用于大规模监控。该漏洞要求潜在攻击者与目标在同一会话中,这就减少了购买漏洞的黑客的范围。也有匿名知情人士称,该漏洞的价格应该降低一半。
MacOS漏洞利用并不是一个远程代码执行漏洞,因此其危险性并没有Windows 0 day漏洞高,而且很难用于现实的攻击场景中。
Zoom回应
Zoom发表声明称,Zoom非常重视用户安全和隐私。在听到这些“谣言”后,Zoom安全团队就与其他知名安全公司开展合作,但截至目前尚未发现相关的安全漏洞。
此外,月初,Zoom还加入了一个Waiting Room(等候室)的功能,实现对要加入会议的参与者的控制,而且在安排会议时要输入口令,并且在标题中移除了会议的meeting ID。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
专有云安全管理十问,看腾讯安全专家如何接招
【51CTO.com原创稿件】近几年,越来越多的企业选择能够让自身业务更加聚焦的专有云。伴随专有云所承载的业务量及系统重要性的不断提升,专有云的安全防护也成为企业机构重点关注方向。那么,相较于公有云,专有云/私有云场景下安全管理有何特殊之处?难点在哪?企业应该如何做好专有云安全防护?可以采用哪些措施来提升专有云的这种安全管理运营能力…… 近日,51CTO记者采访了腾讯安全运营中心SOC产品负责人洪春华。针对企业专有云安全管理问题,记者连发十问,看专家如何接招。 腾讯安全运营中心SOC产品负责人洪春华 Q1:您好!请问相较于公有云,专有云/私有云场景下安全管理有何特殊之处?难点在哪? 洪春华:云与业务相辅相成,业务依靠云平台快速发展,同时也推动云平台建设。很多机构或行业根据自身业务特点,需要选择专有云平台。其实专有云平台对他们来说,相当于是一个公有云平台,以公有云的方式向子公司提供云服务。类比腾讯的公有云,我们需要做哪些安全的管理?首先是云平台管理,腾讯安全中的云鼎实验室就是专门来负责云平台安全的,面对的是云租户,作为云平台提供方,腾讯云有责任提供安全的产品和工具给租户使用。这里的挑战在...
- 下一篇
安全开发如何“无痛分娩”?
一、某“爆款”视频会议软件的市场滑铁卢 2020年初,一场突如其来的疫情,使得某知名视频会议系统日活用户从1000万飙升至2亿,资本市场对其一度看好。可好景不长,由于系统被曝出严重的隐私和安全问题,股价随之受挫,商业信誉严重受损,还被诸多政府机构、高科技公司禁用。 该视频会议软件的安全事件归根结底是开发安全没做到位,相信其安全团队和开发部门肯定因此经历了很多个不眠之夜。 其实早在2004年,微软就提出了SDL,强调安全要在早期开发过程介入,从根本上管控应用安全。在2020年的RSA大会上,专注于将安全集成到DevOps流程中的DevSecOps,更是大放异彩。本文将从安全部门角度出发,针对安全开发落地过程中容易被忽略的赋能与运营问题,希望可以给大家提供一些思路。 二、安全部门的难处 安全部门处境尴尬,受制于业务上线的需求,安全往往需要为业务让路,在实际执行过程中处于弱势,出问题时安全部门又需要救火和背锅。但从上文视频会议软件的案例中,我们也可以看到,安全对业务的重要性。无论是对业务的贡献,还是合规要求,甚至是更实际的——安全人员自身的绩效,都应该开展安全开发体系建设的工作。 关于安全开...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS8编译安装MySQL8.0.19
- Docker安装Oracle12C,快速搭建Oracle学习环境
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- CentOS关闭SELinux安全模块
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- CentOS8安装Docker,最新的服务器搭配容器使用
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS7设置SWAP分区,小内存服务器的救世主