Technology: les chercheurs qui ont découvert cette vulnérabilité zero-day ont gagné 200 000 $.

By

|
Monday 12 avril 2021

Les chercheurs ont découvert une vulnérabilité dans Zoom qui pourrait être utilisée pour lancer des attaques RCE (Remote Code Execution).

Pwn2Own, géré par Zero Day Initiative, est un concours destiné aux professionnels et aux équipes de cybersécurité qui se font concurrence pour trouver des bogues dans les programmes et services communs.

Le récent concours présentait diverses catégories, notamment les navigateurs Web, les logiciels de virtualisation, les serveurs, les outils de communication d’entreprise et l’escalade des franchises locales.

Pour les participants qui réussissent, les récompenses pourraient être élevées, Daan Keuper et Thijs Alkemade ont remporté 200 000 $ pour avoir découvert une nouvelle vulnérabilité dans le programme de visioconférence de Zoom.

Les chercheurs de Computest ont démontré une série de trois erreurs qui ont provoqué la survenue de RCE sur un appareil cible, le tout sans aucune forme d’interaction de l’utilisateur.

Étant donné que Zoom n’a pas encore eu le temps de corriger le problème de sécurité critique, les détails techniques spécifiques de la vulnérabilité sont préservés Cependant, une démonstration de l’attaque montre comment un attaquant a pu ouvrir le programme de calcul d’un appareil exécutant Zoom à la suite de son exploitation.

Comme Malwarebytes l’a noté, l’attaque fonctionne sur les versions Windows et Mac de Zoom, mais n’a pas encore été testée – again – sur iOS ou Android. La version du navigateur de votre logiciel de visioconférence n’est pas affectée

Dans une déclaration à Tom’s Guide, Zoom a remercié les chercheurs de Computest et a déclaré que la société «s’efforçait d’atténuer ce problème en ce qui concerne Zoom Chat». Les réunions de zoom dans la session et les webinaires ne sont pas affectées

Zoom ajoute: “L’attaque doit également provenir d’un contact externe acceptable ou faire partie du propre compte organisationnel de la cible.” “Comme meilleure pratique, Zoom recommande à tous les utilisateurs d’accepter les demandes de contact uniquement des personnes qu’ils connaissent et en qui ils ont confiance.

Les fournisseurs disposent d’une fenêtre de 90 days, ce qui est une pratique standard dans les logiciels de détection de vulnérabilité, pour résoudre les problèmes de sécurité découverts, les utilisateurs finaux n’ont qu’à attendre la publication du correctifmais s’ils sont préoccupés, ils peuvent utiliser la version du navigateur pendant attendre

«Cet événement, ainsi que les procédures et protocoles qui l’entourent, montrent très bien comment les hackers white hat opèrent et ce que signifie la divulgation responsable», déclare Malwarebytes. “Gardez les détails pour vous-même afin que la protection de correction soit facilement accessible à toutes les parties concernées (étant entendu que les vendeurs feront leur part et produiront la correction rapidement).”

Autres attaques réussies à noter lors de l’événement:

La startup Vidiplus utilise la réalité augmentée pour présenter des visuels 3D, des diaporamas et des vidéos dans

matter:
Vidéo conférence
Electronic security
Cybercriminality
Cyber ​​attack
Travail à distance

By

|
Monday 12 avril 2021

Get the best news from IT professionals delivered to your inbox every day

We are temporarily in maintenance mode, which means you will not be able to subscribe to a newsletter. Please come back in a few moments to resume the subscription process Thank you for your patience.

Discover our file

We support small and medium-sized businesses in the development of their IT We share with you our customer stories, webinars and white papers
5 computer files to be discovered each month

Discover the next generation of storage units that deliver uptime, unmatched performance and agility
Register for the webinar

Telecommuting, infrastructure, tips and innovations
Discover our new section

HP intègre des processeurs Intel de 11e génération dans son ordinateur portable convertible Chromebook x360 14c

Copyright © 2021 ZDNET, A RED VENTURES COMPANY All rights reserved CUP Interactive SAS (France) All rights reserved | Confidentiality | Cookies | Privacy management settings

Communications vidéo Zoom, computer, IT security, security vulnerabilities, Zero-day

News – FR – Critical vulnerability Zoom: remote code execution

Source: https://www.zdnet.fr/actualites/vulnerabilite-critique-sur-zoom-execution-de-code-a-distance-39920887.htm

Building on its expertise in the areas of digital, technologies and processes , CSS Engineering you in your most ambitious transformation projects and helps you bring out new ideas, new offers, new modes of collaboration, new ways of producing and selling.

CSS Engineering is involved in projects each customer as if it were his own. We believe a consulting company should be more than an advisor. We put ourselves in the place of our customers, to align we incentives to their goals, and collaborate to unlock the full potential their business. This establishes deep relationships and enjoyable.

Our services:

  1. Create professional websites
  2. Hosting high performance and unlimited
  3. Sale and video surveillance cameras installation
  4. Sale and Installation of security system and alarm
  5. E-Marketing

All our achievements here https://www.css-engineering.com/en/works/