Zoom修复了多个安全漏洞,包括一个高严重性漏洞,该漏洞可能允许攻击者在目标端点上远程执行代码(在新标签中打开).该漏洞由GoogleProjectZero安全研究员IvanFratric首次发现,无需受害者一方进行任何交互即可被利用。
“攻击者唯一需要的能力就是能够通过Zoom向受害者发送消息(在新标签中打开)通过XMPP协议聊天,”Fratric在解释该漏洞时说。
该漏洞被跟踪为CVE-2022-22786,围绕Zoom的服务器和客户端使用不同的XML解析库这一事实展开,因此,XMPP消息被两者解析的方式不同。它只能在Windows设备上找到。
通过发送特定消息,攻击者可以强制目标客户端连接到中间服务器,并安装旧的2019版Zoom。这有助于攻击者发起更具破坏性的攻击。
“这个版本的安装程序仍然正确签名,但是,它不会对.cab文件进行任何安全检查,”研究人员解释说。“为了展示攻击的影响,我将.cab中的Zoom.exe替换为仅打开WindowsCalculator应用程序的二进制文件,并观察到Calculator在安装‘更新’后被打开。”
该漏洞已在视频会议中得到解决(在新标签中打开)平台的最新更新。敦促所有用户尽快修补到5.10.0版本。此补丁还修复了许多其他漏洞,包括一个允许将用户会话cookie发送到非Zoom域的漏洞。
此补丁中修复的其他漏洞被跟踪为CVE-2022-22784、CVE-2022-22785和CVE-2022-22787,并且已在Android、iOS、Linux、macOS和Windows操作系统上观察到。
据ZDNet称,Fratric在今年2月首次发现了这些缺陷,而Zoom则在不到两个月后的4月24日进行了修复。