当前位置:首页 > 黑客技术 > 正文内容

因发现 Zoom 中高危零日漏洞 两位安全专家获 20 万美元赏金

访客56年前 (1970-01-01)黑客技术1008

在年度黑客大会 Pwn2Own 中,两位来自荷兰的白帽安全专家凭借着在 Zoom 中发现的远程代码执行(RCE)漏洞,获得了 20 万美元的赏金。Pwn2Own 大会是由 Zero Day Initiative 举办的一场高规格黑客比赛,主要是让黑客在限定时间内对常用软件、移动设备发起挑战。

举办该活动的目的是为了验证流行的软件、服务、设备都存在缺陷和漏洞,并通过赏金的方式来遏制漏洞的地下交易。这些受到攻击的“targets”自愿提供自己的软件和设备,并对攻击成功者给予奖励。

受雇于 *** 安全公司 Computest 的 Keuper 和 Alkemade 在本次活动的第二天,通过 3 个漏洞的整合成功接管了一个远程系统。这些漏洞不需要受害者参与互动,只要开启 Zoom 会话就可以了。

这些 Zoom 漏洞适用于 Windows 和 macOS 端,不过网页端 Zoom 并不受影响。目前尚不清楚 Android 和 iOS 端的 APP 是否也存在这些漏洞,因为Keuper和Alkemade并没有对这些进行研究。

Pwn2Own组织在推特上发布了一个gif图,展示了该漏洞的运行情况。你可以看到攻击者在运行Zoom的系统上打开计算器。Calc.exe经常被用作黑客在远程系统上打开的程序,以表明他们可以在受影响的机器上运行代码。

(消息及封面来源:cnBeta)

扫描二维码推送至手机访问。

版权声明:本文由黑客技术发布,如需转载请注明出处。

本文链接:https://w-123.com/32536.html

“因发现 Zoom 中高危零日漏洞 两位安全专家获 20 万美元赏金” 的相关文章

Java 加密漏洞 PoC 代码公开,受影响的版本需尽快升级

据Security affairs网站消息,4月21日,安全研究人员Khaled Nassar在Github上公开了Java 中新披露的数字签名绕过漏洞的PoC代码,该漏洞被追踪为CVE-2022-21449(CVSS 分数:7.5)。 漏洞的影响范围主要涉及 Java SE 和 Oracle Gr...

俄罗斯管道巨头 Transneft 遭攻击 79 GB数据泄露

俄乌冲突进入第 3 周,一些非常规行为者继续针对俄罗斯国家支持的企业发起攻击,进行一连串的黑客攻击和数据泄露。而由俄罗斯国家控制的石油管道巨头 Transneft 无疑成为了重点攻击对象。 本周四,泄密托管网站 Distributed Denial of Secrets 发布了一个 79GB 的电子...

黑客正在利用伪造的执法机构传票窃取苹果、Google 等公司的用户数据

据报道,犯罪黑客正在通过一种有效的、狡猾的技术用偷来的执法部门的电子邮件从大型科技公司、ISP、运营商和社交媒体公司窃取用户数据。据网络安全记者Brian Krebs称,更具体地说,攻击者显然正在伪装成执法官员以获取传票特权数据。 一般来说,他们使用被破坏的执法部门电子邮件账户。 这种策略还依赖于...

Adafruit 披露了前员工 GitHub 储存库中的数据泄露

Hackernews 编译,转载请注明出处: Adafruit 披露了一个数据泄露事件,这个事件是由于一个可公开查看的 GitHub 存储库引起的。 该公司怀疑这可能允许攻击者对2019年或之前对某些用户的信息进行“未经授权的访问”。 Adafruit 总部位于纽约市,自2005年以来一直是开源硬...

伪造“紧急搜查令”泛滥 美议员呼吁推动“数字真实性”立法

Krebs On Security 周二警告称:黑客正越来越多地利用受感染的政府和警察部门的电子邮件账户,以从移动运营商、互联网服务提供商(ISP)和社交媒体公司榨取敏感的客户信息。周四,美国参议院内精通技术的议员之一表示,其对这份报告感到很是不安,并且已向科技企业和联邦机构发去询问,以了解此类活动...

CISA 发布 AA22-103A 新警报:警惕针对 ICS/SCADA 设备的 APT 网络攻击

本周三,包括美国能源部(DOE)、网络安全和基础设施安全局(CISA)和联邦调查局(FBI)在内的多个机构,向关键基础设施运营商发出了严重的潜在攻击警报。近年来,某些持续威胁(APT)参与者创建了许多定制工具,并在针对工业控制系统(ICS)、监控和数据采集设备(SCADA)等关键基础设施的攻击事件中...

评论列表

泪灼俛就
3年前 (2022-07-03)

在年度黑客大会 Pwn2Own 中,两位来自荷兰的白帽安全专家凭借着在 Zoom 中发现的远程代码执行(RCE)漏洞,获得了 20 万美元的赏金。Pwn2Own 大会是由 Zero Day Initiative 举办的一场高规格黑客比赛,主要

鸽吻梦冥
3年前 (2022-07-03)

安全公司 Computest 的 Keuper 和 Alkemade 在本次活动的第二天,通过 3 个漏洞的整合成功接管了一个远程系统。这些漏洞不需要受害者参与互动,只要开启 Zoom 会话就可以了。这些 Zoom 漏洞适用于 Windows 

双笙野の
3年前 (2022-07-03)

雇于网络安全公司 Computest 的 Keuper 和 Alkemade 在本次活动的第二天,通过 3 个漏洞的整合成功接管了一个远程系统。这些漏洞不需要受

瑰颈莺时
3年前 (2022-07-03)

安全公司 Computest 的 Keuper 和 Alkemade 在本次活动的第二天,通过 3 个漏洞的整合成功接管了一个远程系统。这些漏洞不需要受害者参与互动,只要开启 Zoom 会话就可以了。这些 Zoom 漏洞适用于 Windows 

离鸢谜兔
3年前 (2022-07-03)

在年度黑客大会 Pwn2Own 中,两位来自荷兰的白帽安全专家凭借着在 Zoom 中发现的远程代码执行(RCE)漏洞,获得了 20 万美元的赏金。Pwn2Own 大会是由 Zero Day Initiative 举办的一场高规格黑客比赛,主要是让黑客在限定

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。