Zoom修補(bǔ)可讓攻擊者發(fā)送消息攻擊用戶的零點擊漏洞

Zoom上周發(fā)出安全公告，修補(bǔ)4項漏洞，這些漏洞串聯(lián)起來讓攻擊者發(fā)送消息給用戶，不需用戶交互，即可導(dǎo)致惡意程序在PC或手機(jī)上執(zhí)行的漏洞。

這4項漏洞為Google Project Zero研究人員Ivan Fratric披露，影響手機(jī)（Android、iOS）及PC機(jī)（Linux、macOS、Windows）版本Zoom Meetings用戶端軟件5.10.0以前版本。Zoom已發(fā)布最新版本5.10.0，呼吁用戶盡快安裝更新版本。

4項漏洞中，最嚴(yán)重的是CVE-2022-22784，它是這個軟件對XMPP消息的XML Stanza解析不當(dāng)，其次是CVE-2022-22786，屬于更新組件降級（Update package downgrade），兩者風(fēng)險值分別為8.1及7.5。另2項風(fēng)險值5.9的漏洞中，CVE-2022-22787屬于對服務(wù)器交換調(diào)用的主機(jī)名稱驗證不當(dāng)，CVE-2022-22785則是未能將用戶端連接cookies限制在Zoom域名。

雖然僅一個重大風(fēng)險漏洞，但是研究人員Fratric指出，4項漏洞串聯(lián)起來則可發(fā)動名為“XMPP Stanza偷運(yùn)”（XMPP Stanza Smuggling）的攻擊。攻擊者可在聊天對話中發(fā)送XMPP消息即可在用戶設(shè)備上，從惡意服務(wù)器安裝惡意程序，而且成功的攻擊不需對方做任何動作。

研究人員說明，XMPP Stanza偷運(yùn)可讓攻擊者置換用戶接到的消息，可用于多種目的，像是冒充是來自另一個用戶的消息，到冒充某臺遠(yuǎn)程服務(wù)器（如Dropbox、Sharepoint、Google Drive等）發(fā)送控制指令。

研究人員也展示概念驗證，設(shè)立服務(wù)器進(jìn)行中間人攻擊（man-in-the-middle），之后則可執(zhí)行任意程序代碼。