Νέα bugs στο Zoom που μπορούσαν να σας χακάρουν με ένα απλό μήνυμα

Τέσσερα νέα ελαττώματα στο Zoom έδιναν το δικαίωμα στους επιτιθέμενους να σας χακάρουν στέλνοντάς σας απλώς ένα μήνυμα.

Η δημοφιλής τηλεδιάσκεψης Zoom έχει ήδη επιλύσει τέσσερα θέματα ασφαλείας, τα οποία θα μπορούσαν να χρησιμοποιηθούν για να παραβιάσουν έναν άλλο χρήστη μέσω συνομιλίας, στέλνοντας ειδικά διαμορφωμένα μηνύματα Extensible and Presence Protocol (XMPP) και εκτελώντας κακόβουλο κώδικα.

Μια σειρά τεσσάρων bugs, από το CVE-2022-22784 έως το CVE-2022-22787, αναφέρονται σε βαθμό επικινδυνότητας μεταξύ 5,9 και 8,1. Και τα τέσσερα ανακαλύφθηκαν τον Φεβρουάριο 2022 από τον Ivan Fratric του Google Project Zero.

Η λίστα των σφαλμάτων έχει ως εξής:
CVE-2022-22784 (βαθμολογία CVSS: 8,1) – Λανθασμένη ανάλυση XML στο Zoom Client for Meetings
CVE-2022-22785 (βαθμολογία CVSS: 5,9) – Cookies περιόδου λειτουργίας με ακατάλληλο περιορισμό στο Zoom Client for Meetings
CVE-2022-22786 (βαθμολογία CVSS: 7,5) – Ενημέρωση υποβάθμισης πακέτου στο Zoom Client for Meetings για
CVE-2022-22787 (βαθμολογία CVSS: 5,9) – Ανεπαρκής επικύρωση ονόματος κεντρικού υπολογιστή κατά την εναλλαγή διακομιστή στο Zoom Client for Meetings

Η επιτυχής εκμετάλλευση των ζητημάτων αυτών θα μπορούσε να επιτρέψει σε έναν εισβολέα να αναγκάσει το πρόγραμμα του Zoom client να μεταμφιεσθεί σε έναν χρήστη του Zoom, να συνδεθεί σε έναν κακόβουλο διακομιστή και ακόμη και να κατεβάσει μια κακόβουλη ενημέρωση, με αποτέλεσμα την αυθαίρετη εκτέλεση κώδικα.

Ο Fratric ονόμασε το είδος της επίθεσης αυτής ως περίπτωση “XMPP Stanza Smuggling“, προσθέτοντας ότι “ένας χρήστης μπορεί να είναι σε θέση να πλαστογραφήσει μηνύματα σαν να προέρχονται από άλλο χρήστη” και ότι “ένας εισβολέας μπορεί να στείλει μηνύματα που θα γίνουν δεκτά, επειδή φαίνονται ότι προέρχονται από τον διακομιστή”.

Το CVE-2022-22786 επηρεάζει τα Windows, ενώ τα CVE-2022-22784, CVE-2022-22785 και CVE-2022-22787 επηρεάζουν τα , iOS, Linux, macOS και Windows.

Συνιστάται στους χρήστες της εφαρμογής να ενημερώσουν στην πιο πρόσφατη έκδοση (5.10.0) για να μετριάσουν τυχόν πιθανές απειλές που προκύπτουν από την ενεργή εκμετάλλευση των ελαττωμάτων.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).