Zoom是流行的視頻會議應用程序，發展迅速，到2020年6月份左右已超過2億人次，但是該應用程序出名容易成為黑客的攻擊主要目標。

國外安全研究員Mazin Ahmed在2020年DEFCON會議上介紹了他的發現，并披露了Zoom的漏洞，目前所有漏洞已在5.2.4版中修復。

Ahmed發現了適用于Linux的Zoom Launcher漏洞，該漏洞可能使攻擊者以啟動“ zoom”可執行文件的方式運行任何未經授權的軟件。

他使用漏洞情報平臺FullHunt.io來查詢與Zoom關聯的域。

漏洞列表：

• 放大暴露的公共Kerberos身份驗證服務器
• Zoom Production Server上的內存泄漏
• Zoom Production Server上無法利用的RCE
• 可訪問的Zoom服務器上的Shadow IT問題

帶有 Zoom App的Linux 缺陷：

• TLS / SSL實施錯誤的設計實踐
• 有關Zoom Launcher實施的非常糟糕的設計實踐。
• Zoom用戶之間的端到端加密消息以純文本格式存儲在磁盤上。
• 所有本地用戶均可訪問的Zoom Local Database，包括私有的端到端加密消息(以純文本存儲)和訪問令牌。

他觀察到Zoom暴露了Kerberos服務，該服務提供了更廣泛的攻擊面來枚舉登錄憑據。

另一個漏洞是Zoom上的圖像轉換，它將GIF轉換為PNG，進行圖像轉換Zoom使用具有內存泄漏漏洞的ImageMagick版本，由于未初始化ImageMagick的GIF解析器上的內存空間，因此發生了內存泄漏漏洞。

Ahmed發現“ Zoom TLS / SSL在設計上已被Linux破壞，編寫了一個PoC，將TLS / SSL證書指紋注入到本地Zoom數據庫中。在用戶計算機上執行此代碼后，將接受所有注入的證書，而不會在Zoom上出錯。”Zoom沒有完全端到端加密。

Zoom于2020年8月3日發布了更新，在Zoom版本5.2.4的更新中，所有安全漏洞已得到修復。