ASA-2019-00410 – Zoom: Divulgação de informação ao forçar os usuários a participar de uma chamada de vídeo com a câmera de vídeo ativa


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00410

Identificador(es)

ASA-2019-00410, CVE-2019-13450

Título

Divulgação de informação ao forçar os usuários a participar de uma chamada de vídeo com a câmera de vídeo ativa

Fabricante(s)

Zoom Video Communications, Inc

Produto(s)

Zoom Client

Versão(ões) afetada(s)

Zoom Client versões 4.4.4 e anteriores

Versão(ões) corrigida(s)

Desconhecido

Prova de conceito

Sim

Descrição

Os atacantes remotos podem forçar um usuário a participar de uma chamada de vídeo com a câmera de vídeo ativa. Isso ocorre porque qualquer site da Web pode interagir com o servidor da Web Zoom na porta 19421 ou 19424 do host local.

Detalhes técnicos

Desconhecido

Créditos

Jonathan Leitschuh

Referência(s)

Zoom Zero Day: 4+ Million Webcams & maybe an RCE? Just get them to visit your website!
https://medium.com/@jonathan.leitschuh/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5

Zoom Vulnerability POC
https://github.com/JLLeitschuh/zoom_vulnerability_poc

Zoom Response Video-On Vulnerability
https://assets.zoom.us/docs/pdf/Zoom+Response+Video-On+Vulnerability.pdf

Response to Video-On Concern
https://blog.zoom.us/wordpress/2019/07/08/response-to-video-on-concern/

Twitter
https://twitter.com/jlleitschuh/status/1148632996330844160?s=12

CVE-2019–13449
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019–13449

CVE-2019–13449
https://nvd.nist.gov/vuln/detail/CVE-2019–13449

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 10 julho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.