近日，Windows 版 Zoom 客户端爆出了容易受到 NUC 路径注入攻击的安全漏洞。作为一款音视频会议应用，Zoom 还允许用户在聊天界面通过发送文本消息来互相交流。然而外媒 Bleeping Computer 指出，攻击者可利用聊天模块的漏洞，窃取点击了相关链接的用户的 Windows 登录凭据。

发送聊天消息时，所有发送的 URL 都将经过转换，以便群内其他成员点击，继而在默认的浏览器中打开网页。

然而安全研究人员 @_g0dmode 发现，Zoom 客户端竟然还将 Windows 网络 UNC 路径，也转换成了聊天消息中可单击的链接。常规 URL 和 NUC 路径都被转换成了聊天消息中的可点击链接。若用户单击 UNC 路径链接，则 Windows 将尝试使用 SMB 文件共享协议连接到远程站点，以打开远程路径中的 cat.jpg 文件。默认情况下，Windows 将发送用户的登录名和 NTLM 密码哈希值，但稍有经验的攻击者均可借助 Hashcat 之类的免费工具来逆向运算。

安全研究人员 Matthew Hickey（@ HackerFantastic）实测发现，其能够在 Zoom 中顺利注入，并且可以借助当前的民用级 GPU 和 CPU 来快速破解。除了窃取 Windows 登录凭据，Hickey 还向 Bleeping Computer 透露，通过点击链接的方式，UNC 注入还适用于启动本地计算机上的程序（比如 CMD 命令提示符）。 

庆幸的是，Windows 会在程序被执行前发出是否允许其运行的提示。想要堵上这一漏洞，Zoom 必须阻止 Windows 客户端的 UNC 路径转换功能（屏蔽部分可点击的超链接）。

据悉，Hickey 已经在 Twitter 上向 Zoom 官方发去了有关该安全漏洞的通知，但目前尚不清楚该公司已采取怎样的行动。

来源：cnBeta.COM 

更多资讯

万豪披露又一起数据安全事件 520万客户信息泄露

报道称事件发生于今年 1 月中旬，但直到 2 月下旬才被发现。调查发现有两名员工的登陆凭据有关，事件导致 520 万客户信息泄露。在堵上安全漏洞之后，万豪声称入侵者已被禁止访问。

来源：cnBeta.COM

ICANN 批准了 Verisign 的合同 .com 域名将涨价

ICANN 批准了 Verisign 的 .COM 注册协议，允许  .COM 域名未来四年每年涨价 7%。目前 .COM 的批发价为 7.85 美元，从 2021 年起每年涨 7%，到 2024 年批发价将涨到 10.29 美元。

来源：solidot.org

Edge 和 IE 浏览器因疫情调整 TLS 1.0/1.1 禁用时间表

2018 年 10 月，微软宣布尚处于支持状态的 Edge 和 IE 浏览器将于 2020 年上半年开始，默认停止对 TLS 1.0/1.1 网站的支持。不过由于受到新冠病毒疫情的影响，微软宣布对该计划进行调整，并公布了新的时间路线图。

来源：cnBeta.COM

美参议员就新冠病毒网站的数据隐私问题向 Verily 施压

据外媒报道，当地时间周二，一群美国民主党参议员对谷歌母公司 Alphabet 旗下的生命科学部门 Verily 进行了盘问”，内容是关于该公司的新冠筛查网站相关的隐私问题。据悉，该网站于两周前上线，让用户可以通过筛查看看自己是否应该去新冠病病毒检测站检测。

来源：cnBeta.COM

（信息来源于网络，安华金和搜集整理）