TG客服:@SSjiejie — 官方频道:@SSwangluo
三生网络 © 2009-2023 超15年出海经验,跨境项目专家
Zoom上周发出安全公告,修补4项漏洞,这些漏洞串联起来让攻击者发送消息给用户,不需用户交互,即可导致恶意程序在PC或手机上执行的漏洞。
这4项漏洞为Google Project Zero研究人员Ivan Fratric披露,影响手机(Android、iOS)及PC机(Linux、macOS、Windows)版本Zoom Meetings用户端软件5.10.0以前版本。Zoom已发布最新版本5.10.0,呼吁用户尽快安装更新版本。
4项漏洞中,最严重的是CVE-2022-22784,它是这个软件对XMPP消息的XML Stanza解析不当,其次是CVE-2022-22786,属于更新组件降级(Update package downgrade),两者风险值分别为8.1及7.5。另2项风险值5.9的漏洞中,CVE-2022-22787属于对服务器交换调用的主机名称验证不当,CVE-2022-22785则是未能将用户端连接cookies限制在Zoom域名。
虽然仅一个重大风险漏洞,但是研究人员Fratric指出,4项漏洞串联起来则可发动名为“XMPP Stanza偷运”(XMPP Stanza Smuggling)的攻击。攻击者可在聊天对话中发送XMPP消息即可在用户设备上,从恶意服务器安装恶意程序,而且成功的攻击不需对方做任何动作。
研究人员说明,XMPP Stanza偷运可让攻击者置换用户接到的消息,可用于多种目的,像是冒充是来自另一个用户的消息,到冒充某台远程服务器(如Dropbox、Sharepoint、Google Drive等)发送控制指令。
研究人员也展示概念验证,设立服务器进行中间人攻击(man-in-the-middle),之后则可执行任意程序代码。
TG客服:@SSjiejie — 官方频道:@SSwangluo
三生网络 © 2009-2023 超15年出海经验,跨境项目专家