Unsachgemäßes XML-Parsing in Zoom Client for Meetings
- ZSB-22006
- CVE-2022-22784
- Hoch
- 8.1
- CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Der Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.10.0 kann XML-Sätze in XMPP-Nachrichten nicht ordnungsgemäß parsen. Dadurch kann ein böswilliger Benutzer aus dem aktuellen XMPP-Nachrichtenkontext ausbrechen, einen neuen Nachrichtenkontext erstellen und den Client des empfangenden Benutzers zur Ausführung einer Reihe von Aktionen zwingen. Dieses Problem könnte in einem komplexen Angriff genutzt werden, um XMPP-Nachrichten vom Server zu fälschen.
Benutzer können sich selbst schützen, indem sie aktuelle Updates anwenden oder die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates unter https://zoom.us/download herunterladen.
- Zoom Client for Meetings (for Android, iOS, Linux, macOS, and Windows) before version 5.10.0
Berichtet von Ivan Fratric von Google Project Zero
| Revision | Datum | Beschreibung |
|---|---|---|
| 1.0 | 05/17/2022 | Erste Veröffentlichung |