Tóm tắt
Zoom đã phân tích các sản phẩm và dịch vụ của chúng tôi để xác định và giảm thiểu các lỗ hổng Apache Log4j được tiết lộ trong CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 và CVE-2021-44832. Zoom tiếp tục giảm thiểu và vá các phiên bản dễ bị tấn công của Log4j theo khuyến nghị của Apache. Chúng tôi đã lên kế hoạch để cập nhật các phiên bản dễ bị tấn công của Log4j được xác định lên phiên bản mới nhất ngay khi khả dụng và sau khi đã kiểm tra kỹ lưỡng.
Việc giải quyết các lỗ hổng này là ưu tiên hàng đầu của Zoom. Chúng tôi đang theo dõi chặt chẽ tình hình và nỗ lực hết sức để giải quyết sớm nhất có thể. Trang này sẽ được cập nhật khi có thông tin quan trọng.
Dựa trên những gì chúng tôi đã tìm thấy cho đến nay, dưới đây là tình trạng hiện tại của các sản phẩm và dịch vụ Zoom.
| Sản phẩm và dịch vụ của Zoom | Trạng thái |
|---|---|
| Zoom Meetings, Zoom Events, Zoom Webinars, OnZoom | Các ứng dụng Zoom dành cho Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (và plug-in của VDI) và ứng dụng trên web không sử dụng các phiên bản dễ bị tấn công của Log4j. Người dùng hiện không cần thực hiện bất kỳ hành động nào. |
| Backend sản xuất của Zoom (không bao gồm phần mềm thương mại của bên thứ ba)* | Backend sản xuất của Zoom (không bao gồm phần mềm thương mại của bên thứ ba) đã được cập nhật lên Log4j phiên bản 2.16.0 là phiên bản tối thiểu hoặc được giảm thiểu để giải quyết các vấn đề được xác định trong CVE 2021-44228 và CVE-2021-45046. Zoom đã tiến hành đánh giá các vấn đề trong CVE-2021-44832 và CVE-2021-45105 và xác định backend sản xuất của chúng tôi không bị ảnh hưởng do các điều kiện cần thiết để khai thác lỗ hổng không tồn tại. |
| Phần mềm thương mại bên thứ ba cho backend sản xuất của Zoom | Chúng tôi đang trong quá trình đánh giá tình hình với các nhà cung cấp phần mềm thương mại bên thứ ba. Chúng tôi đã và đang có kế hoạch tiếp tục áp dụng bất kỳ bản cập nhật nào khi chúng có sẵn. Các nhà cung cấp phần mềm bên thứ ba cốt lõi của Zoom đã được cập nhật hoặc giảm thiểu. |
| Zoom dành cho Chính phủ | Các ứng dụng Zoom dành cho Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (và plug-in của VDI) và ứng dụng trên web không sử dụng các phiên bản dễ bị tấn công của Log4j. Người dùng hiện không cần thực hiện bất kỳ hành động nào. |
| Zoom Phone | Zoom Phone Client không sử dụng các phiên bản dễ bị tấn công của Log4j. Người dùng không cần thực hiện bất kỳ hành động nào tại thời điểm này. |
| Zoom Rooms và Zoom dành cho Làm việc tại nhà | Zoom Rooms Client và Zoom dành cho Làm việc tại nhà không sử dụng các phiên bản dễ bị tấn công của Log4j. Người dùng hiện không cần thực hiện bất kỳ hành động nào. |
| Zoom Team Chat | Zoom Team Chat Client không sử dụng các phiên bản dễ bị tấn công của Log4j. Người dùng hiện không cần thực hiện bất kỳ hành động nào. |
| Zoom Marketplace | Đối với backend của mình, chúng tôi đã áp dụng các biện pháp giảm thiểu được khuyến nghị của Apache và cập nhật bất kỳ hệ thống nào được xác định cho đến nay lên phiên bản tối thiểu là Log4j 2.16.0. Người dùng không cần thực hiện hành động nào tại thời điểm này. |
| API và SDK của Nền tảng dành cho nhà phát triển Zoom | SDK Zoom không sử dụng các phiên bản dễ bị tấn công của Log4j. Người dùng không cần thực hiện bất kỳ hành động nào tại thời điểm này. |
| Triển khai Zoom tại chỗ | Bộ định tuyến đa phương tiện kết hợp, Trình kết nối phòng ảo, Trình kết nối cuộc họp, Trình kết nối giao diện lập trình ứng dụng (API) và Trình kết nối ghi âm Zoom không sử dụng các phiên bản dễ bị tấn công của Log4j. |
| Dịch vụ do bên thứ ba cung cấp | Chúng tôi đang trong quá trình đánh giá tình hình với các bên thứ ba của mình. |
| Đối tác thiết bị cho Zoom Phone và Zoom Rooms | Các đối tác thiết bị cho Zoom Phone và Zoom Rooms của chúng tôi đã xác nhận rằng họ không bị ảnh hưởng. |
| Zoom Apps | Các nhà phát triển Zoom Apps bên thứ ba của chúng tôi đã xác nhận rằng mọi Zoom App sử dụng phiên bản dễ bị tấn công của Log4j đã được cập nhật hoặc giảm thiểu rủi ro. |
Ghi chú của biên tập viên: Bản tin này đã được chỉnh sửa vào ngày 14 tháng 1 năm 2022 để bổ sung thông tin cập nhật mới nhất về phản hồi của Zoom đối với các lỗ hổng bảo mật CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 và CVE-2021-44832.