В популярном сервисе для видеоконференций Zoom устранили четыре уязвимости, которые можно использовать для взлома пользователей. Эксплуатация подразумевает отправку жертве в чат специально созданных XMPP-сообщений (Extensible Messaging and Presence Protocol), которые позволят выполнить вредоносный код.
Проблемы в безопасности получили диапазон идентификаторов с CVE-2022-22784 по CVE-2022-22787. Наименее опасной бреши присвоили 5,9 балла, а самой серьёзной — 8,1. Баги обнаружил эксперт Google Project Zero Иван Фретрик.
В своём отчёте, который был направлен разработчикам Zoom, Фретрик классифицирует и описывает уязвимости следующим образом:
- CVE-2022-22784 (8,1 балла по CVSS) — некорректный парсинг XML в клиенте Zoom.
- CVE-2022-22785 (5,9 балла по CVSS) — некорректно ограниченные cookies сессии.
- CVE-2022-22786 (7,5 балла по CVSS) — даунгрейд пакетов обновлений в клиенте Zoom для Windows.
- CVE-2022-22787 (5,9 балла по CVSS) — недостаточная валидация хоста при переключении сервера.
Успешная эксплуатация со стороны злоумышленника позволит ему выполнить ряд действий, среди которых подключение к вредоносному серверу и даже загрузка потенциально опасного обновления.
Фретрик подробно описал найденные проблемы в отчёте «XMPP Stanza Smuggling», уточнив, что условный атакующий может отправить жертве сообщения, которые обработаются так, будто были отправлены с сервера.
Пользователям рекомендуют обновить Zoom до версии 5.10.0, чтобы снизить риски эксплуатации выявленных багов.