Zoom上周發出安全公告,修補4項漏洞,這些漏洞串聯起來讓攻擊者傳送訊息給用戶,不需用戶互動,即可導致惡意程式在PC或手機上執行的漏洞。
這4項漏洞為Google Project Zero研究人員Ivan Fratric揭露,影響手機(Android、iOS)及桌機(Linux、macOS、Windows)版本Zoom Meetings用戶端軟體5.10.0以前版本。Zoom已釋出最新版本5.10.0,呼籲用戶儘速安裝更新版本。
4項漏洞中,最嚴重的是CVE-2022-22784,它是這個軟體對XMPP訊息的XML Stanza解析不當,其次是CVE-2022-22786,屬於更新套件降級(Update package downgrade),兩者風險值分別為8.1及7.5。另2項風險值5.9的漏洞中,CVE-2022-22787屬於對伺服器交換呼叫的主機名稱驗證不當, CVE-2022-22785則是未能將用戶端連線cookies限制在Zoom網域。
雖然僅一個重大風險漏洞,但是研究人員Fratric指出,4項漏洞串聯起來則可發動名為「XMPP Stanza 偷運」(XMPP Stanza Smuggling)的攻擊。攻擊者可在聊天對話中傳送XMPP訊息即可在用戶裝置上,從惡意伺服器安裝惡意程式,而且成功的攻擊不需對方做任何動作。
研究人員說明,XMPP Stanza偷運可讓攻擊者置換用戶接到的訊息,可用於多種目的,像是冒充是來自另一個用戶的訊息,到冒充某臺遠端伺服器(如Dropbox、Sharepoint、Google Drive等)傳送控制指令。
研究人員也展示概念驗證,設立伺服器進行中間人攻擊(man-in-the-middle),之後則可執行任意程式碼。
熱門新聞
2024-12-24
2024-12-22
2024-08-14
2024-12-20
2024-11-29