(Photo par Yuriko Nakao / Getty Images) MISE À JOUR 7/10/20: Zoom a corrigé la vulnérabilité avec un correctif qui est actuellement en cours de déploiement pour les utilisateurs.
"Zoom a résolu ce problème, qui affecte les utilisateurs exécutant Windows 7 et versions antérieures, dans la version du client 5.1.3 le 10 juillet", a déclaré la société à Daxdi.
Les utilisateurs peuvent contribuer à assurer leur sécurité en appliquant les mises à jour actuelles ou en téléchargeant la dernière version du logiciel Zoom avec toutes les mises à jour de sécurité actuelles à partir de https://zoom.us/download.
Histoire originale:
Les chercheurs en sécurité ont découvert une nouvelle vulnérabilité dans Zoom qui pourrait être exploitée pour pirater les machines Windows 7 exécutant le logiciel de visioconférence.
La faille peut ouvrir la voie à l'exécution de code à distance, permettant à un attaquant de télécharger et d'installer des logiciels malveillants sur le PC Windows 7 d'une victime, selon la société slovène Arcos Security.
Jeudi, la société a révélé la vulnérabilité jusque-là inconnue sur un conseil d'un chercheur en sécurité anonyme.
Arcos Security retient les détails de la faille pour empêcher des pirates malveillants de l'exploiter.
Cependant, la société affirme que la vulnérabilité affecte le client Zoom pour Windows.
Vraisemblablement, le pirate doit démarrer une réunion vidéo avec la victime, puis inciter la personne à effectuer une certaine action, comme ouvrir un fichier de document; l'attaque se produira alors sans aucun avertissement à l'utilisateur.
Nous avons analysé le problème et déterminé qu'il n'était exploitable que sur Windows 7 et les anciens systèmes Windows.
Alors que le support officiel de Microsoft pour Windows 7 a pris fin en janvier, il y a encore des millions d'utilisateurs privés et professionnels qui prolongent sa vie , a écrit Arcos Security dans un article de blog.
(En effet, Windows 7 détient toujours une part de 23% du marché des systèmes d'exploitation de bureau.)
Arcos Security a signalé la vulnérabilité à Zoom aujourd'hui.
Nous avons confirmé ce problème et travaillons actuellement sur un correctif pour le résoudre rapidement, a déclaré le fournisseur de vidéoconférence.
La raison pour laquelle Arcos Security a décidé de divulguer la faille aujourd'hui - avant que Zoom n'ait la possibilité de la corriger - n'a pas été entièrement expliquée.
Cependant, l'entreprise a indiqué qu'il était important d'informer le public du danger potentiel.
Nous n'avons pas divulgué les détails de la vulnérabilité qui permettraient aux attaquants de l'exploiter - nous avons seulement divulgué sa présence et notre micropatch, a déclaré à Daxdi, le PDG d'Arcos Security, Mitja Kolsek.
"Conformément à notre politique de longue date, nous ne publierions même pas de détails après 90 jours si ces détails permettaient aux attaquants d'attaquer les utilisateurs."
Le micropatch d'Arcos Security pour la faille est gratuit.
Mais cela vous oblige à télécharger le logiciel 0patch de la société pour l'installer.
Kolsek a ajouté qu'il n'y avait aucune preuve que les pirates exploitent actuellement la faille.
(Photo par Yuriko Nakao / Getty Images) MISE À JOUR 7/10/20: Zoom a corrigé la vulnérabilité avec un correctif qui est actuellement en cours de déploiement pour les utilisateurs.
"Zoom a résolu ce problème, qui affecte les utilisateurs exécutant Windows 7 et versions antérieures, dans la version du client 5.1.3 le 10 juillet", a déclaré la société à Daxdi.
Les utilisateurs peuvent contribuer à assurer leur sécurité en appliquant les mises à jour actuelles ou en téléchargeant la dernière version du logiciel Zoom avec toutes les mises à jour de sécurité actuelles à partir de https://zoom.us/download.
Histoire originale:
Les chercheurs en sécurité ont découvert une nouvelle vulnérabilité dans Zoom qui pourrait être exploitée pour pirater les machines Windows 7 exécutant le logiciel de visioconférence.
La faille peut ouvrir la voie à l'exécution de code à distance, permettant à un attaquant de télécharger et d'installer des logiciels malveillants sur le PC Windows 7 d'une victime, selon la société slovène Arcos Security.
Jeudi, la société a révélé la vulnérabilité jusque-là inconnue sur un conseil d'un chercheur en sécurité anonyme.
Arcos Security retient les détails de la faille pour empêcher des pirates malveillants de l'exploiter.
Cependant, la société affirme que la vulnérabilité affecte le client Zoom pour Windows.
Vraisemblablement, le pirate doit démarrer une réunion vidéo avec la victime, puis inciter la personne à effectuer une certaine action, comme ouvrir un fichier de document; l'attaque se produira alors sans aucun avertissement à l'utilisateur.
Nous avons analysé le problème et déterminé qu'il n'était exploitable que sur Windows 7 et les anciens systèmes Windows.
Alors que le support officiel de Microsoft pour Windows 7 a pris fin en janvier, il y a encore des millions d'utilisateurs privés et professionnels qui prolongent sa vie , a écrit Arcos Security dans un article de blog.
(En effet, Windows 7 détient toujours une part de 23% du marché des systèmes d'exploitation de bureau.)
Arcos Security a signalé la vulnérabilité à Zoom aujourd'hui.
Nous avons confirmé ce problème et travaillons actuellement sur un correctif pour le résoudre rapidement, a déclaré le fournisseur de vidéoconférence.
La raison pour laquelle Arcos Security a décidé de divulguer la faille aujourd'hui - avant que Zoom n'ait la possibilité de la corriger - n'a pas été entièrement expliquée.
Cependant, l'entreprise a indiqué qu'il était important d'informer le public du danger potentiel.
Nous n'avons pas divulgué les détails de la vulnérabilité qui permettraient aux attaquants de l'exploiter - nous avons seulement divulgué sa présence et notre micropatch, a déclaré à Daxdi, le PDG d'Arcos Security, Mitja Kolsek.
"Conformément à notre politique de longue date, nous ne publierions même pas de détails après 90 jours si ces détails permettaient aux attaquants d'attaquer les utilisateurs."
Le micropatch d'Arcos Security pour la faille est gratuit.
Mais cela vous oblige à télécharger le logiciel 0patch de la société pour l'installer.
Kolsek a ajouté qu'il n'y avait aucune preuve que les pirates exploitent actuellement la faille.
