Nieprawidłowe analizowanie plików XML w kliencie Zoom Client for Meetings
- ZSB-22006
- CVE-2022-22784
- Wysoka
- 8.1
- CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Klient Zoom Client for Meetings (dla systemów Android, iOS, Linux i Windows) w wersji starszej niż 5.10.0 nie analizuje prawidłowo plików XML w wiadomościach XMPP. Może to prowadzić do wybicia złośliwego użytkownika z bieżącego kontekstu wiadomości XMPP i utworzenia nowego kontekstu wiadomości w celu wykonania różnych działań na platformie klienta użytkownika otrzymującego wiadomość. Ten problem mógłby zostać wykorzystany w bardziej zaawansowanych atakach w celu podrabiania wiadomości XMPP pochodzących z serwera.
Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.
- Zoom Client for Meetings (for Android, iOS, Linux, macOS, and Windows) before version 5.10.0
Zgłoszenie: Ivan Fratric, Google Project Zero
| Revision | Data | Opis |
|---|---|---|
| 1.0 | 05/17/2022 | Wstępna publikacja |