Analyse XML incorrecte dans Zoom Client for Meetings
- ZSB-22006
- CVE-2022-22784
- Haute
- 8.1
- CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
La version de Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) antérieure à 5.10.0 ne parvient pas à analyser correctement les blocs XML dans les messages XMPP. Cela peut permettre à un utilisateur malveillant de sortir du contexte de message XMPP actuel et de créer un nouveau contexte de message pour que le client de l’utilisateur récepteur effectue diverses actions. Ce problème pourrait être exploité dans le cadre d’une attaque plus sophistiquée pour falsifier des messages XMPP à partir du serveur.
Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité en date sur https://zoom.us/download.
- Zoom Client for Meetings (for Android, iOS, Linux, macOS, and Windows) before version 5.10.0
Signalé par Ivan Fratric de Google Project Zero
| Revision | Date | Description |
|---|---|---|
| 1.0 | 05/17/2022 | Première publication |