Zoom用户需要尽早更新应用，以免受黑客攻击。如最近所公布的，黑客可以利用Zoom应用程序劫持会议。该漏洞允许攻击者窥探在线会议、收集数据、操纵消息和破坏会议。

Zoom App的漏洞可能会干扰会议

一名Tenable研究人员发现了一个关键的安全漏洞，使得在线视频会议很容易被劫持。Zoom桌面会议应用程序存在允许未授权命令执行的漏洞。利用这个漏洞，攻击者可以控制在线会议，劫持演讲者的屏幕，欺骗消息，并将与会者从会议中移除。此外，攻击者还可以在目标系统上下载并执行恶意软件。

Tenable在博客文章（https://www.tenable.com/blog/ten ... tion-cve-2018-15715）中披露了细节。如前所述，该缺陷是由于消息验证不当而存在的，其允许攻击者伪造Zoom服务器消息。

这个bug是由于Zoom的内部消息传递泵(util.dll!ssb::events_t::loop)将客户端用户数据报协议(UDP)和服务器传输控制协议(TCP)消息(从util.dll!ssb::select_t::loop)发送到ssb_sdk.dll中的同一个消息处理程序。这使得攻击者可伪造并发送UDP包，且构造的数据包会被认为来自授权的ZOOM服务器。

要利用这个漏洞，攻击者只需要知道Zoom服务器的IP地址，将伪造的UDP包注入到现有会话就可触发此bug。因此，攻击者可以是任何会议参与者，也可以是局域网上的某个人。此外，Tenable还认为攻击者也可以在广域网上利用(理论上是可以的)，但研究员无法实际测试它。

研究员在github上公布了POC（https://github.com/tenable/poc/tree/master/Zoom），并在tenable上传了演示视频（http://videos.tenable.com/watch/LVzYoq6JMNUsqJX31ewtXe）

尽快升级到补丁版本

根据研究人员的说法，Windows，Mac OS以及Linux的Zoom客户端都会受Zoom Client for Meetings Message Spoofing Vulnerability（CVE-2018-15715）影响。Zoom已针对漏洞，推出Windows最新的4.1.34814.1119版本和Mac OS的4.1.34801.1116。针对Linux客户端的修复程序，Zoom还在开发中。用户必须确保将Zoom更新为修补版本，防止受到该漏洞攻击。