Onjuist beperkte sessiecookies in Zoom Client for Meetings
- ZSB-22007
- CVE-2022-22785
- Gemiddeld
- 5.9
- CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L
De Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.10.0 kan clientsessiecookies niet correct beperken tot Zoom-domeinen. Dit probleem kan worden gebruikt bij een meer geavanceerde aanval om de Zoom-scoped sessiecookies van een gebruiker naar een niet-Zoom-domein te sturen. Dit kan mogelijk spoofing van een Zoom-gebruiker mogelijk maken.
Gebruikers kunnen zichzelf helpen te beveiligen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/nl/download.
- Zoom Client for Meetings (for Android, iOS, Linux, macOS, and Windows) before version 5.10.0
Gemeld door Ivan Fratric van Google Project Zero
| Revision | Datum | Beschrijving |
|---|---|---|
| 1.0 | 05/17/2022 | Eerste publicatie |