Imbauan Prosedur Keamanan Kerentanan Chat Giphy Arbitrary File Write/Path Tanversal pada Aplikasi Client Zoom (CVE-2020-6109)

>

Zoom merupakan aplikasi video conference dengan berbagai fitur tambahan, salah satunya adalah fitur chat (percakapan). Aplikasi Zoom client mampu mengirim pesan dalam bentuk animasi dengan format GIF melalui fitur chat. Ditemukan kerentanan path traversal pada aplikasi client Zoom versi 4.6.10 yang terkait dengan fitur percakapan tersebut. Zoom memanfaatkan server Giphy untuk fitur chat yang memuat animasi citra GIF. Namun terdapat kemungkinan untuk memuat konten file lain, tidak terbatas pada citra GIF dari arbitrary server, sehingga dapat disalahgunakan.Berbekal sebuah pesan animasi yang dibuat secara khusus, melalui kerentanan tersebut penyerang dapat menargetkan pengguna tertentu dengan arbitrary file write dan arbitrary code execution sehingga berpotensi menyebabkan kebocoran informasi atau memicu kerentanan lainnya. Mengingat dampak yang mungkin muncul dari eksploitasi kerentanan tersebut, diharapkan pengguna layanan Zoom segera melakukan tindakan mitigasi dan remediasi yang dijelaskan pada imbauan keamanan yang bisa diunduh melalui tautan di ini.   (BatangKab-CSIRT)