បញ្ហា២ ត្រូវបានរកឃើញនៅក្នុងកម្មវិធី Zoom ដែលប៉ះពាល់ដល់ការប្រើប្រាស់រួមមាន crash service, ប្រត្តិបត្តិការកូដអាក្រក់ ព្រមទាំងលេចព័ត៌មានចេញពីអង្គចងចាំទៀតផង។
Natalie Silvanovich នៅគម្រោង Google Project Zero បានរាយការណ៍ពីកំហុសឆ្គង២កាលពីឆ្នាំមុន គាត់បានថ្លែងថា បញ្ហាទាំងនេះប៉ះពាល់ទៅដល់អតិថិជន Zoom និងម៉ាស៊ីនមេ Multimedia Router (MMR) ដែលបញ្ជូន audio និង វីដេអូ content រវាងអតិថិជននៅក្នុង on-premise deployments។
ភាពទន់ខ្សោយនេះបានរកឃើញដោយ Zoom ហើយក៏បានធ្វើបច្ចុប្បន្នភាពកាលពីថ្ងៃទី២៤ ខែវិច្ឆិកា ឆ្នាំ២០២១។
គោលបំណងនៃការវាយប្រហារ zero-click គឺដើម្បីលួចគ្រប់គ្រងលើឧបករណ៍ជនរងគ្រោះដោយមិន ទៀមទារតម្រូវការអ្វីពីអ្នកប្រើទេ សូម្បីតែ click នៅលើលីងក៏ដោយ។
កំហុស២ ដែលសិក្សាដោយ Project Zero រួមមាន៖
១. បញ្ហា buffer overflow៖ អាចធ្វើឱ្យប៉ះពាល់ដល់សេវា ឬកម្មវិធី ឬក៏ប្រតិបត្តិការកូដតាមអំពើចិត្ត។
២. បញ្ហាបង្ហាញដំណើរការអង្គចងចាំ៖ អាចមានការលបចូលមើលទិន្នន័យនៅក្នុងអង្គចងចាំ។
អ្នកស្រាវជ្រាវបានបន្ថែមថា បញ្ហានៅក្នុងអង្គចងចាំនោះមកពី Zoom មិនបានប្រើ ASLA (aka address space layout randomization) ដែលជួយបង្កើនសុវត្ថិភាពជៀសពីការវាយប្រហារ buffer overflow។
Silvanovich បានថ្លែងថា៖ “កង្វះ ASLR នៅក្នុងដំណើរការ Zoom MMR បង្កើននូវគ្រោះថ្នាក់ ហើយ ហេគឃ័រអាចសម្របសម្រួលបាន”។ “ASLR មានតួនាទីសំខាន់ក្នុងការការពារអង្គចងចាំពីការវាយ ប្រហារ។ គ្មានហេតុផលណាថា មិនគួរប្រើ ASLR នៅក្នុងកម្មវិធីសំខាន់នោះទេ”។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២០ ខែមករា ឆ្នាំ២០២២
ប្រែសម្រួលដោយ៖ កញ្ញា
