Nieprawidłowe analizowanie adresów URL w klientach Zoom [Aktualizacja 2022-10-24]
- ZSB-22016
- CVE-2022-28755
- Krytyczna
- 9.6
- CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Klient Zoom Client for Meetings (dla systemów Android, iOS, Linux, macOS i Windows) przed wersją 5.11.0 jest podatny na lukę w przetwarzaniu adresów URL. W przypadku otwarcia złośliwego adresu URL do spotkania Zoom złośliwy link może skierować użytkownika do połączenia z arbitralnym adresem sieciowym, co prowadzi do dodatkowych ataków, w tym możliwości zdalnego wykonania kodu poprzez uruchomienie plików wykonywalnych z dowolnych ścieżek.
* Zmiany – 24.10.2022 – dodano Zoom Rooms do sekcji „Produkty, których to dotyczy”.
Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.
- Zoom Client for Meetings (for Android, iOS, Linux, macOS, and Windows) before version 5.11.0
Zgłoszone przez Zespół Zoom ds. zabezpieczeń
| Revision | Data | Opis |
|---|---|---|
| 1.1 | 10/24/2022 | Dodano Zoom Rooms do sekcji "Dotknięte produkty". |
| 1.0 | 08/09/2022 | Wstępna publikacja |