Τέσσερα νέα ελαττώματα στο Zoom έδιναν το δικαίωμα στους επιτιθέμενους να σας χακάρουν στέλνοντάς σας απλώς ένα μήνυμα.
Η δημοφιλής υπηρεσία τηλεδιάσκεψης Zoom έχει ήδη επιλύσει τέσσερα θέματα ασφαλείας, τα οποία θα μπορούσαν να χρησιμοποιηθούν για να παραβιάσουν έναν άλλο χρήστη μέσω συνομιλίας, στέλνοντας ειδικά διαμορφωμένα μηνύματα Extensible Messaging and Presence Protocol (XMPP) και εκτελώντας κακόβουλο κώδικα.
Μια σειρά τεσσάρων bugs, από το CVE-2022-22784 έως το CVE-2022-22787, αναφέρονται σε βαθμό επικινδυνότητας μεταξύ 5,9 και 8,1. Και τα τέσσερα ανακαλύφθηκαν τον Φεβρουάριο 2022 από τον Ivan Fratric του Google Project Zero.
Η λίστα των σφαλμάτων έχει ως εξής:
CVE-2022-22784 (βαθμολογία CVSS: 8,1) – Λανθασμένη ανάλυση XML στο Zoom Client for Meetings
CVE-2022-22785 (βαθμολογία CVSS: 5,9) – Cookies περιόδου λειτουργίας με ακατάλληλο περιορισμό στο Zoom Client for Meetings
CVE-2022-22786 (βαθμολογία CVSS: 7,5) – Ενημέρωση υποβάθμισης πακέτου στο Zoom Client for Meetings για Windows
CVE-2022-22787 (βαθμολογία CVSS: 5,9) – Ανεπαρκής επικύρωση ονόματος κεντρικού υπολογιστή κατά την εναλλαγή διακομιστή στο Zoom Client for Meetings
Η επιτυχής εκμετάλλευση των ζητημάτων αυτών θα μπορούσε να επιτρέψει σε έναν εισβολέα να αναγκάσει το πρόγραμμα του Zoom client να μεταμφιεσθεί σε έναν χρήστη του Zoom, να συνδεθεί σε έναν κακόβουλο διακομιστή και ακόμη και να κατεβάσει μια κακόβουλη ενημέρωση, με αποτέλεσμα την αυθαίρετη εκτέλεση κώδικα.
Ο Fratric ονόμασε το είδος της επίθεσης αυτής ως περίπτωση “XMPP Stanza Smuggling“, προσθέτοντας ότι “ένας χρήστης μπορεί να είναι σε θέση να πλαστογραφήσει μηνύματα σαν να προέρχονται από άλλο χρήστη” και ότι “ένας εισβολέας μπορεί να στείλει μηνύματα ελέγχου που θα γίνουν δεκτά, επειδή φαίνονται ότι προέρχονται από τον διακομιστή”.
Το CVE-2022-22786 επηρεάζει τα Windows, ενώ τα CVE-2022-22784, CVE-2022-22785 και CVE-2022-22787 επηρεάζουν τα Android, iOS, Linux, macOS και Windows.
Συνιστάται στους χρήστες της εφαρμογής να ενημερώσουν στην πιο πρόσφατη έκδοση (5.10.0) για να μετριάσουν τυχόν πιθανές απειλές που προκύπτουν από την ενεργή εκμετάλλευση των ελαττωμάτων.