Zoom修補可讓攻擊者發(fā)送消息攻擊用戶的零點擊漏洞

Zoom上周發(fā)出安全公告，修補4項漏洞，這些漏洞串聯(lián)起來讓攻擊者發(fā)送消息給用戶，不需用戶交互，即可導致惡意程序在PC或手機上執(zhí)行的漏洞。

這4項漏洞為Google Project Zero研究人員Ivan Fratric披露，影響手機（Android、iOS）及PC機（Linux、macOS、Windows）版本Zoom Meetings用戶端軟件5.10.0以前版本。Zoom已發(fā)布最新版本5.10.0，呼吁用戶盡快安裝更新版本。

4項漏洞中，最嚴重的是CVE-2022-22784，它是這個軟件對XMPP消息的XML Stanza解析不當，其次是CVE-2022-22786，屬于更新組件降級（Update package downgrade），兩者風險值分別為8.1及7.5。另2項風險值5.9的漏洞中，CVE-2022-22787屬于對服務器交換調(diào)用的主機名稱驗證不當，CVE-2022-22785則是未能將用戶端連接cookies限制在Zoom域名。

雖然僅一個重大風險漏洞，但是研究人員Fratric指出，4項漏洞串聯(lián)起來則可發(fā)動名為“XMPP Stanza偷運”（XMPP Stanza Smuggling）的攻擊。攻擊者可在聊天對話中發(fā)送XMPP消息即可在用戶設(shè)備上，從惡意服務器安裝惡意程序，而且成功的攻擊不需對方做任何動作。

研究人員說明，XMPP Stanza偷運可讓攻擊者置換用戶接到的消息，可用于多種目的，像是冒充是來自另一個用戶的消息，到冒充某臺遠程服務器（如Dropbox、Sharepoint、Google Drive等）發(fā)送控制指令。

研究人員也展示概念驗證，設(shè)立服務器進行中間人攻擊（man-in-the-middle），之后則可執(zhí)行任意程序代碼。