據Security affairs消息，Google Project Zero安全研究人員近日發現視頻會議軟件Zoom存在兩個重要漏洞，可能會讓用戶遭受攻擊。

這兩個漏洞會影響Windows、macOS、Linux、iOS 和 Android 平臺上Zoom客戶端，這意味著幾乎所有的用戶都處于漏洞的威脅之中。

第一個漏洞編號為CVE-2021-34423，是一個高嚴重性的緩沖區溢出漏洞，CVSS 基本得分為7.3分。第二個漏洞編號為CVE-2021-34424，是一個高嚴重性的內存損壞漏洞，CVSS 基本得分也是7.3分。

目前，Google已經將這兩個漏洞已經分享給Zoom。Zoom 發布的安全公告承認了這兩個漏洞，并表示，“部分產品發現了一個緩沖區溢出漏洞和內存損壞漏洞，這可能會讓應用程序或服務崩潰，攻擊者可利用這些漏洞執行任意代碼，或暴露進程的內容狀態等。”

以下是受影響的 Zoom 產品列表：

• 5.8.4 版之前的 Zoom 會議客戶端(適用于 Android、iOS、Linux、macOS 和 Windows)
• 5.8.1 版之前的用于 Blackberry 會議的 Zoom 客戶端(適用于 Android 和 iOS)
• 5.8.4 版之前的用于會議的 Zoom Client for Intune(適用于 Android 和 iOS)
• 適用于 Chrome 操作系統的 Zoom Client for Meetings 5​​.0.1 版之前
• 5.8.3 版之前的用于會議室的 Zoom Rooms(適用于 Android、AndroidBali、macOS 和 Windows)
• 版本 5.8.3 之前的 Zoom Rooms 控制器(適用于 Android、iOS 和 Windows)

值得一提的是，就在11月29日，Zoom宣布推出自動更新功能，旨在簡化桌面客戶端的更新過程，目前僅適用于Windows和macOS，移動設備可以通過各自應用商店的內置自動更新程序進行更新。

Zoom公司的隱私&安全技術產品經理稱，“對于個人用戶來說，自動更新功能將默認啟動，如果想要關閉這一功能，用戶可以在首次安裝或首次更新后選擇退出其桌面客戶端的自動更新。”

此外，Zoom 用戶還可以自主選擇更新的頻率：如果選擇高頻率更新，那么將會立即安裝最新的軟件和功能;如果選擇低頻率更新，那么將會直接降低更新次數，且更專注于最大限度提高穩定性。

雖然該平臺在此之前還向企業用戶提供了自動更新，但此次更新“將目標受眾擴大到包括非企業組織成員的所有個人用戶”。