首页 > 安全 > 正文

可以通过发送消息来链接Zoom错误在聊天中破解用户

最后更新 :2022.05.25

可以利用缩放中的安全缺陷来通过发送专门精心设计的消息来妥协另一个用户。

流行的视频会议服务Zoom中可以利用一组四个安全缺陷来妥协,以通过聊天来损害另一个用户通过发送特殊精心设计的可扩展消息传递和存在协议(XMPP)消息。从CVE-2022-22784传播到CVE-2022-22787,严重性之间的问题范围为5.9至8.1。Google Project Zero的Ivan Fratric在2022年2月发现和报告了所有四个缺陷。

zoom zero-day

现在由公司解决的漏洞是: CVE-2022-22784 Zoom Client in Zoom Client for ton Zoom Client for in to会议 CVE-2022-22785 Zoom Client中的Cookie会议 CVE-2022-22786

更新软件包在Zoom Client in Zoom Client for Windows的会议 CVE-2022-22787 Zoom Client在Zoom Client中的服务器开关期间的主机名验证不足

Zoom解决的最严重的缺陷是

CVE-2022-22784

(CVSS得分:8.1),它是一个不正确的XML Zoom Zoom会议客户端。

威胁性演员可以利用漏洞来突破当前的XMPP消息上下文,并创建一个新的消息上下文,以使接收者的客户端执行各种操作。

这可以允许恶意用户突破当前的XMPP消息上下文,并创建一个新的消息上下文,以使接收者的客户端执行各种操作。可以在更复杂的攻击中使用此问题,以从服务器伪造XMPP消息。读取咨询。

链接上述漏洞,攻击者可以欺骗脆弱的客户端连接到Rogue Server,这可能会导致由于Windows的Zoom Client降低了更新的软件包而导致任意代码执行安装较不安全的版本。

版本5.10.0之前的Windows会议的缩放客户端和版本5.10.0之前的Windows会议室的Zoom Room,在更新期间未能正确检查安装版本过程。可以在更复杂的攻击中使用此问题,以欺骗用户将其缩放客户端降级到较不安全的版本。读取CVE-2022-22786发行的咨询。

Zoom用户建议安装解决上述漏洞的最新版本(5.10.0)。

安全事务是2022年欧洲最佳网络安全博客奖的决赛入围者之一 - 投票给您的获奖者。我请您再次为我投票(即使您已经做过),因为这项投票是为决赛投票。

请在每个类别中投票支持安全事务和Pierluigi Paganini包括它们(例如,“弱者 - 最佳个人(非商业)安全性”部分博客”和“技术WHIZ - 最佳技术博客”)

提名,请访问: https://docs.google.com/forms/d/e/1faipqlsdndzjvtomsq36ykihqwwhma90sr0e9rlndflz3cu_gvi2axw/viewform

- END -

看更多