Zoom正在为其视频会议平台推出一项重大安全更新。该更新修复了几个漏洞,包括谷歌零项目的安全研究人员发现的几个高严重性问题。此更新修补的漏洞之一允许远程执行代码。发送特制消息使恶意行为者能够欺骗Zoom用户连接到中间服务器,而他们却没有注意到任何异常。然后攻击者可以发起更复杂的攻击。他们可以欺骗消息,就好像来自另一个用户一样。也许他们可以控制来自服务器和客户端的所有消息。
GoogleProjectZero安全研究员IvanFratric报告了此问题,编号为CVE-2022-22784的常见漏洞和披露(CVE)标识。“成功的攻击不需要用户交互。攻击者需要的唯一能力是能够通过XMPP协议通过Zoom聊天向受害者发送消息,”Fratric说(通过)。
通用漏洞评分系统(CVSS)得分为8.1,这是一个相当严重的问题,您希望尽早避免这种问题。它影响了适用于Android、iOS、Linux、macOS和Windows的Zoom应用程序。上周推出的最新更新(版本5.10.0)修补了它。我们在本文末尾提供了新版本的GooglePlay商店链接。
最新的Zoom更新还修补了IvanFratric发现的另一个高危漏洞。由CVE编号CVE-2022-22786确定,此错误阻止Zoom客户端在更新过程中正确检查安装包的构建版本。因此,远程攻击者可以诱骗用户将他们的Zoom应用程序降级到安全性较低的版本。此漏洞的CVSS评分为7.5,仅影响WindowsZoom客户端。
IvanFratric还报告了Zoom上的一个中等严重性漏洞。它允许通过将Zoom范围的会话cookie发送到非Zoom域来欺骗用户。此错误影响了视频会议应用程序的Android、iOS、Linux、macOS和Windows客户端。跟踪为CVE-2022-22785,Zoom使用版本5.10.0修补了该问题。
最后但同样重要的是,Zoom的最新更新修复了另一个中等严重性漏洞,该漏洞允许攻击者在服务器切换请求期间欺骗用户。毫无戒心的用户最终可能会连接到恶意服务器而不是Zoom。这为更严重的攻击开辟了可能性。
此问题的CVE编号为CVE-2022-22787。Zoom版本5.10.0对Android、iOS、Linux、macOS和Windows进行了修补。您可以单击下面的按钮从GooglePlay商店为您的Android智能手机下载最新版本的Zoom应用程序。
标签: