Συνιστάται στους χρήστες του Zoom να ενημερώσουν τους clients τους στην έκδοση 5.10.0 για να διορθώσουν ορισμένες τρύπες που εντοπίστηκαν από τον ερευνητή ασφαλείας του Google Project Zero, Ivan Fratric.
“Η αλληλεπίδραση χρήστη δεν απαιτείται για μια επιτυχημένη επίθεση. Η μόνη ικανότητα που χρειάζεται ένας εισβολέας είναι να μπορεί να στέλνει μηνύματα στο θύμα μέσω Zoom chat μέσω πρωτοκόλλου XMPP”, δήλωσε ο Fratric.
Εξετάζοντας τον τρόπο με τον οποίο τα μηνύματα XMPP αναλύονται διαφορετικά από τον server και τους clients του Zoom, καθώς χρησιμοποιούν διαφορετικές βιβλιοθήκες ανάλυσης XML, ο Fratric μπόρεσε να αποκαλύψει μια αλυσίδα επίθεσης που τελικά θα μπορούσε να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα.
Εάν αποσταλεί ένα ειδικά διαμορφωμένο μήνυμα, ο Fratric μπορούσε να ενεργοποιήσει τους clients να συνδεθούν σε έναν man-in-the-middle server που εξυπηρετούσε μια παλιά έκδοση του Zoom client από τα μέσα του 2019.
Το DOJ κατηγορεί Κινέζο για spear phishing κατά της NASA
James Webb Telescope: Μαύρη τρύπα "σκοτώνει" το γαλαξία της
Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη
“Το πρόγραμμα εγκατάστασης για αυτήν την έκδοση εξακολουθεί να είναι σωστά υπογεγραμμένο, ωστόσο δεν κάνει κανέναν έλεγχο ασφαλείας στο αρχείο .cab”, είπε ο Fratric.
“Για να δείξω τον αντίκτυπο της επίθεσης, αντικατέστησα το Zoom.exe στο .cab με ένα binary που ανοίγει την εφαρμογή Windows Calculator και παρατήρησα ότι το Calculator ανοίγει μετά την εγκατάσταση της ενημέρωσης.”
Στο ενημερωτικό δελτίο ασφαλείας που δημοσιεύτηκε την περασμένη εβδομάδα, το Zoom είπε ότι ο ερευνητής ασφάλειας βρήκε έναν τρόπο να στέλνει user session cookies σε ένα domain που δεν είναι Zoom, ο οποίος θα μπορούσε να επιτρέψει το spoofing.
Η ευπάθεια CVE-2022-22786 που επέτρεπε την υποβάθμιση του client επηρέασε μόνο τους χρήστες των Windows, ενώ τα άλλα τρία ζητήματα — CVE-2022-22784, CVE-2022-22785 και CVE-2022-22787 — επηρέασαν Android, iOS, Linux, macOS και Windows.
Η Fratric ανακάλυψε τα τρωτά σημεία τον Φεβρουάριο, με το Zoom να επιδιορθώνει τα ζητήματα του server τον ίδιο μήνα και να κυκλοφορεί updated clients στις 24 Απριλίου.
Πηγή πληροφοριών: zdnet.com