Nicht ordnungsgemäß eingeschränkte Sitzungscookies in Zoom Client for Meetings

Meldung: ZSB-22007
CVEID: CVE-2022-22785
CVSS-Schweregrad: Mittel
CVSS-Punktzahl: 5.9
CVSS-Vektorzeichenfolge: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Beschreibung:

Der Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.10.0 kann Client-Sitzungscookies auf Zoom-Domains nicht ordnungsgemäß beschränken. Dieses Problem könnte in einem komplexen Angriff genutzt werden, um die Zoom-Sitzungscookies eines Benutzers an eine Domain außerhalb von Zoom zu senden. Dies könnte das Spoofing eines Zoom-Benutzers ermöglichen.

Benutzer können sich selbst schützen, indem sie aktuelle Updates anwenden oder die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates unter https://zoom.us/download herunterladen.

Betroffene Produkte:

Zoom Client for Meetings (for Android, iOS, Linux, macOS, and Windows) before version 5.10.0

Quelle:

Berichtet von Ivan Fratric von Google Project Zero

Revision	Datum	Beschreibung
1.0	05/17/2022	Erste Veröffentlichung

Nicht ordnungsgemäß eingeschränkte Sitzungscookies in Zoom Client for Meetings

Neuigkeiten abonnieren