Luka związana z korzystaniem z usługi GIPHY. Aplikacja nie sprawdza, czy współdzielony plik GIF ładuje się z usługi Giphy, umożliwiając atakującemu osadzenie plików GIF z serwera kontrolowanego przez osobę trzecią w systemie użytkowników w określonym folderze powiązanym z aplikacją. Ponadto aplikacja nie weryfikowała nazw plików co mogło umożliwić zapisanie złośliwych plików podszywających się pod pliki GIF w dowolnym miejscu w systemie ofiary.
Numer CVE
CVE-2020-6110
Krytyczność
Krytyczna
Opis
Luka umożliwia atakującemu zdalne wykonanie kodu. Błąd w funkcji tworzącej archiwum zip – funkcja wyodrębniania pliku zip w Zoom nie sprawdza zawartości pliku zip przed wypakowaniem go, umożliwiając umieszczenie dowolnych plików binarnych na docelowych komputerach.
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny