19 Luglio 2026
HomeAttualitàVulnerabilità critiche in Zoom permettono di hackerare chat

Vulnerabilità critiche in Zoom permettono di hackerare chat

Se stai usando Zoom, specialmente durante questo periodo difficile per far fronte al tuo impegno scolastico, aziendale o sociale, assicurati di eseguire l’ultima versione del software di videoconferenza molto popolare su computer Windows, macOS o Linux.

Non si tratta dell’arrivo della funzionalità di crittografia end-to-end più attesa, che apparentemente, secondo le ultime notizie, ora sarebbe disponibile solo per gli utenti a pagamento. Invece, questo ultimo avviso riguarda due vulnerabilità critiche recentemente scoperte.
I ricercatori di Cybersecurity di Cisco Talos hanno rivelato oggi di aver scoperto due vulnerabilità critiche nel software Zoom, ciò avrebbe potuto consentire ad aggressori di hackerare i sistemi dei partecipanti alla chat di gruppo o di un singolo destinatario da remoto.
Entrambi i difetti in questione possono essere sfruttati per scrivere o inserire file arbitrari sui sistemi che eseguono versioni vulnerabili del software di videoconferenza per eseguire codice dannoso.

Secondo i ricercatori, lo sfruttamento riuscito di entrambi i bug richiede una scarsa o minima interazione da parte dei partecipanti alla chat vittima e può essere eseguito semplicemente inviando messaggi appositamente predisposti tramite la funzione di chat a un individuo o un gruppo.

La prima vulnerabilità di sicurezza ( CVE-2020-6109 ) risiedeva nel modo in cui Zoom sfrutta il servizio GIPHY, recentemente acquistato da Facebook, per consentire ai suoi utenti di cercare e scambiare GIF animate durante la chat.
I ricercatori hanno scoperto che l’applicazione Zoom non ha verificato se una GIF condivisa si sta caricando o meno dal servizio Giphy, consentendo a un utente malintenzionato di incorporare GIF da un server controllato da un aggressore di terze parti, che eseguono lo zoom in base alla cache di progettazione sul sistema dei destinatari in una cartella specifica associata all’applicazione.
Oltre a ciò, poiché l’applicazione non stava anche controllando i nomi dei file, avrebbe potuto consentire agli aggressori di ottenere l’attraversamento delle directory, inducendo l’applicazione a salvare file dannosi mascherati da GIF in qualsiasi posizione sul sistema della vittima, ad esempio la cartella di avvio.

La seconda vulnerabilità legata all’esecuzione di codice in modalità remota ( CVE-2020-6110 ) risiedeva nel modo in cui le versioni vulnerabili degli snippet di codice del processo di applicazione Zoom vengono condivise tramite la chat.
La funzionalità di chat di Zoom si basa sullo standard XMPP con estensioni aggiuntive per supportare la ricca esperienza utente. Una di quelle estensioni supporta una funzione che include frammenti di codice sorgente con supporto completo per l’evidenziazione della sintassi. La funzione per inviare frammenti di codice richiede l’installazione di un plug-in aggiuntivo, ma non li riceve. Questa funzionalità è implementata come estensione del supporto per la condivisione di file “, hanno detto i ricercatori .

Questa funzione crea un archivio zip dello snippet di codice condiviso prima dell’invio, quindi decomprime automaticamente il file sul sistema del destinatario.
Secondo i ricercatori, la funzione di estrazione del file zip di Zoom non convalida il contenuto del file zip prima di estrarlo, consentendo all’aggressore di installare binari arbitrari su computer target.
Inoltre, un problema del percorso consente al file zip appositamente predisposto di scrivere file all’esterno della directory generata in modo casuale “, hanno detto i ricercatori.
I ricercatori di Cisco Talos hanno testato entrambi i difetti sulla versione 4.6.10 dell’applicazione client Zoom e hanno riferito in modo responsabile alla società.
Rilasciato proprio il mese scorso, Zoom ha corretto entrambe le vulnerabilità critiche con la versione 4.6.12 del suo software di videoconferenza per computer Windows, macOS o Linux.

Carlo Feder
Carlo Federhttps://www.alground.com
Consulente per la sicurezza dei sistemi per aziende ed istituti pubblici, Carlo è specializzato in gestione dati, crittografia e relazioni internazionali. E' in Alground dal 2011.
Altri articoli

TI POSSONO INTERESSARE

Telecamere obbligatorie in auto: l’Europa ci protegge o ci sorveglia?

Dal 7 luglio 2026 tutte le nuove auto immatricolate nell’Unione Europea dovranno essere dotate di un sistema di Advanced Driver Distraction Warning, un dispositivo...

Gli Usa utilizzano droni di mare contro l’Iran. La nuova frontiera della guerra navale

Gli attacchi con droni di superficie statunitensi contro il porto iraniano di Bandar Abbas rappresentano una svolta storica nella guerra navale contemporanea, segnando la...

Stati Uniti e Iran continuano i colloqui

Donald Trump ha annunciato che Stati Uniti e Iran hanno concordato di proseguire i colloqui, ma ha dichiarato che la tregua è ormai finita,...

L’occhio di Bruxelles sulle chat: l’Europa al bivio tra protezione e sorveglianza di massa

L'intersezione tra la tutela dei minori e il diritto fondamentale alla privacy digitale rappresenta una delle sfide legislative e tecnologiche più complesse del ventunesimo...

La Cpu migliore? Ryzen 9 9950X3D contro Core Ultra 9 285K

Il 2026 è l’anno in cui il mercato delle CPU desktop ha smesso di essere una guerra di numeri di core e ha iniziato...

Vannacci: potrei votare Meloni al Quirinale

Roberto Vannacci, ex generale e oggi protagonista della nuova destra “identitaria”, ha aperto pubblicamente alla possibilità di votare Giorgia Meloni al Quirinale, inserendosi così...

L’America rischia di perdere la guerra del futuro

Per oltre trent’anni gli Stati Uniti hanno vissuto nella convinzione di possedere un vantaggio militare strutturale, quasi intoccabile.Dalla Guerra del Golfo in poi, le...

Starmer si dimette: Andy Burnham si prepara a prendere il controllo di Downing Street

A meno di due anni dalla trionfale vittoria elettorale che aveva riportato il Labour al governo dopo la lunga stagione conservatrice, Keir Starmer ha...

Claude Mythos 5 e Fable 5: capacità, pericoli e vulnerabilità dell’AI di frontiera

La genesi dei modelli di classe Mythos e la strategia di rilascio di Anthropic Il panorama globale dell'intelligenza artificiale di frontiera è stato scosso il...