Zoom上周发出安全公告，修补4项漏洞，这些漏洞串联起来让攻击者发送消息给用户，不需用户交互，即可导致恶意程序在PC或手机上执行的漏洞。

这4项漏洞为Google Project Zero研究人员Ivan Fratric披露，影响手机（Android、iOS）及PC机（Linux、macOS、Windows）版本Zoom Meetings用户端软件5.10.0以前版本。Zoom已发布最新版本5.10.0，呼吁用户尽快安装更新版本。

4项漏洞中，最严重的是CVE-2022-22784，它是这个软件对XMPP消息的XML Stanza解析不当，其次是CVE-2022-22786，属于更新组件降级（Update package downgrade），两者风险值分别为8.1及7.5。另2项风险值5.9的漏洞中，CVE-2022-22787属于对服务器交换调用的主机名称验证不当，CVE-2022-22785则是未能将用户端连接cookies限制在Zoom域名。

虽然仅一个重大风险漏洞，但是研究人员Fratric指出，4项漏洞串联起来则可发动名为“XMPP Stanza偷运”（XMPP Stanza Smuggling）的攻击。攻击者可在聊天对话中发送XMPP消息即可在用户设备上，从恶意服务器安装恶意程序，而且成功的攻击不需对方做任何动作。

研究人员说明，XMPP Stanza偷运可让攻击者置换用户接到的消息，可用于多种目的，像是冒充是来自另一个用户的消息，到冒充某台远程服务器（如Dropbox、Sharepoint、Google Drive等）发送控制指令。

研究人员也展示概念验证，设立服务器进行中间人攻击（man-in-the-middle），之后则可执行任意程序代码。