Cookies de session mal définis dans Zoom Client for Meetings

Bulletin: ZSB-22007
CVEID: CVE-2022-22785
Gravité CVSS: Moyenne
Score CVSS: 5.9
Chaîne de vecteurs CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Description:

Les versions de Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) antérieures à 5.10.0 ne parviennent pas à restreindre correctement les cookies de session client aux domaines Zoom. Ce problème pourrait être exploité dans le cadre d’une attaque plus sophistiquée pour envoyer les cookies de session Zoom d’un utilisateur à un domaine non Zoom. Cela pourrait potentiellement permettre l’usurpation d’identité d’un utilisateur Zoom.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité en date sur https://zoom.us/download.

Produits concernés:

Zoom Client for Meetings (for Android, iOS, Linux, macOS, and Windows) before version 5.10.0

Source:

Signalé par Ivan Fratric de Google Project Zero

Revision	Date	Description
1.0	05/17/2022	Première publication

Cookies de session mal définis dans Zoom Client for Meetings

S’abonner aux lettres d’informations