Theo các nhà nghiên cứu, kẻ gian có thể khai thác lỗ hổng mà không cần (hoặc cần rất ít) sự tương tác từ những người tham gia cuộc trò chuyện.
Cụ thể, lỗ hổng bảo mật đầu tiên (CVE-2020-6109) nằm ở cách Zoom cho phép người dùng tìm kiếm và gửi ảnh động từ dịch vụ GIPHY trong khi trò chuyện.
Tuy nhiên, các nhà nghiên cứu phát hiện rằng phần mềm Zoom không kiểm tra ảnh động được chia sẻ có thuộc dịch vụ GIPHY hay không, điều này đã vô tình tạo kẽ hở cho phép kẻ gian nhúng ảnh động độc hại từ máy chủ của bên thứ ba.
Trong khi đó, lỗ hổng thứ hai (CVE-2020-6110) liên quan đến tính năng trích xuất tệp .zip (Zoom không xác thực nội dung của tệp .zip trước khi giải nén), cho phép kẻ tấn công tạo các tệp nhị phân tùy ý trên máy tính của nạn nhân.
Các nhà nghiên cứu đã nhanh chóng báo cáo vấn đề này với công ty phát triển phần mềm.
Hiện tại Zoom đã vá cả hai lỗ hổng nghiêm trọng bằng việc phát hành phiên bản 4.6.12 cho Windows, macOS và Linux. Nếu đang sử dụng phần mềm Zoom để phục vụ công việc, học tập… hãy chắc chắn bạn đang cài đặt phiên bản mới nhất.