Top.Mail.Ru
Видеонаблюдение
СКУД
СКС
Телефония
IT Аутсорсинг 
АТТ

Федеральная торговая комиссия США (FTC) объявила о компромиссном соглашении с Zoom после того, как изначально обвинила компанию «в серии обманчивых и недобросовестных действий, подрывающих безопасность пользователей», в частности в утверждении, что используемое ею шифрование надежнее, чем было на самом деле.

Напомним, ранее в нынешнем году, когда по всему миру стали вводиться карантинные ограничения, популярность Zoom стремительно возросла. В то время компания уверяла, будто для обеспечения безопасности передаваемых данных использует сквозное шифрование, делающее расшифровку встреч в Zoom практически совсем невозможной, даже для самой компании. Однако, как выяснилось, ключи шифрования хранились на серверах Zoom, благодаря чему она могла получать доступ к звонкам своих пользователей.

«Согласно жалобе Федеральной торговой комиссии США, вводящие в заблуждение утверждения Zoom внушали пользователям ложное чувство безопасности, особенно у тех, кто использовал платформу компании для обсуждения деликатных тем, таких как здоровье и финансы», - говорится в заявлении FTC.

Компания быстро признала свою неправоту и пообещала реализовать настоящее сквозное шифрование. Однако и здесь Zoom подверглась критике, поскольку изначально решила внедрить сквозное шифрование только для платных пользователей.

FTC также обвинила компанию в хранении записей некоторых встреч на своих серверах в течение двух месяцев и подрыве безопасности пользователей путем тайного развертывания на их компьютерах web-сервера для более быстрого подключения к встречам.

Согласно заявлению Федеральной торговой комиссии, она запретила Zoom впредь искажать информацию о своих методах обеспечения безопасности и конфиденциальности, а также обязала компанию запустить программу управления уязвимостями и улучшить безопасность внутренней сети.

Как сообщила представитель Zoom Коллин Родригес (Colleen Rodriguez) через внешнюю компанию по кризисным коммуникациям Sard Verbinnen, Zoom «уже решила проблемы, выявленные FTC».

Источник: https://www.securitylab.ru/news/513882.php

Эксперты Cisco Talos выявили две критические уязвимости в Zoom класса Path traversal. Они открывают самые широкие возможности для кибератак прямо через чаты в клиенте Zoom.

Чат и вредоносный GIF

Две уязвимости в Zoom позволяют злоумышленникам прямо через чат взламывать систему, в которой установлен клиент.

В одной из самых популярных в мире платформ для проведения видеоконференций обнаружились две критические уязвимости, позволяющие злоумышленникам проникать в систему жертвы удалённо, используя групповой или персональный чат, пишет ресурс Securityaffairs.

Обе уязвимости - CVE-2020-6109 и CVE-2020-6110 - относятся к категории path traversal (обход пути), и позволяют злоумышленникам размещать или запускать в системе жертвы произвольный код - для этого понадобится просто отправить специально подготовленные сообщения.

Уязвимость CVE-2020-6109 связана с некорректным использованием службы GIPHY, позволяющей искать и пересылать друг другу анимированные изображения в формате GIF.

Эксперты Cisco Talos обнаружили, что Zoom не проверяет источник файлов GIF, что позволяет использовать файлы из сторонних источников; кроме того, не производится очистка имени файлов, что может привести ещё и к обходу каталога. В итоге у злоумышленников появляется возможность разместить любые файлы, закамуфлированные под GIF, в любой папке целевой системы.

Фрагменты кода - двоичного, вместо исходного

Уязвимость CVE-2020-6110 связана с некорректной обработкой фрагментов программного кода, пересылаемых через чат клиента. Специально сформированное сообщение может привести к запуску вредоносного кода на целевой системе.

Отправителю кода, впрочем, необходимо установить специальный плагин. Зато на получателей это ограничение не распространяется.

Как установили эксперты, при отправке фрагмента кода Zoom формирует архив ZIP, который разворачивается в системе получателя; но при этом содержимое архива не подвергается никаким проверкам, так что злоумышленник вполне может отправить жертве исполняемый код, а не исходники, и тем или иным способом заставить запустить его. Мало того, злоумышленник может вписать вредоносный файл в любой произвольный каталог в системе.

«Проблема проверки вводимых величин по-прежнему стоит остро, и разработчики даже самых раскрученных платформ до сих пор совершают ошибки, открывающие злоумышленникам самые широкие возможности, - указывает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. - Zoom сейчас находится в зоне особо пристального внимания и со стороны экспертов по кибербезопасности, и со стороны злоумышленников, в силу взрывного роста популярности. Уязвимости в нём ищут очень активно и, как видим, небезуспешно».

Обе уязвимости затрагивают версию клиента 4.6.10; обновление 4.6.12 их устраняет.

Источник

К тестированию платформы уже подключились 10 регионов и Подмосковье. Сервис должен быть готов к началу нового учебного года

В школах некоторых регионов России начали внедрять новое отечественное ПО для проведения учебного процесса в режиме видеоконференций. В частности, такой сервис сейчас тестируют в учебных заведениях Московской области и ещё десяти регионов. В его разработке принимали участие Минпросвещения РФ, Министерство цифрового развития и массовых коммуникаций РФ и «Ростелеком». Об этом сообщило информационное агентство ТАСС со ссылкой на пресс-службу Минпросвещения РФ.

Сообщается, что сервис видеоконференций станет частью российской образовательной платформы «Моё просвещение», коммуникативные функции которой будут сопоставимы с популярными зарубежными аналогами, в том числе и с Zoom. Сама платформа будет доступна на Едином портале государственных услуг вместе с календарём образовательных событий, электронными дневниками, журналами и системой доступа к электронному образовательному контенту. Всё это должно сделать работу учителей более удобной, а сам процесс обучения школьников — более эффективным.

Сервис пока называется «Russian online communications assistant» (рабочее название), но после окончания тестирования будут приниматься решения относительно его официального названия. Министр просвещения РФ Сергей Кравцов заявил, что такая система позволит школьникам не пропускать учёбу, когда они по уважительным причинам не могут посещать школу. Они будут на связи с учителями и одноклассниками, смогут учиться дальше, не отставая от программы.

Ранее Кравцов говорил, что отечественная платформа видеосвязи будет готова к началу нового учебного года. По сути, это аналог Zoom, но с применением отечественных разработок и отечественного программного обеспечения. Он отметил, что это нужно для того, чтобы избежать различного рода проблем при использовании зарубежных сервисов.

Источник

Опубликовано в Интернет

© 2007-2020 ООО "Центр Информационных Технологий"

Яндекс.Метрика