Análise indevida de XML no Zoom Client for Meetings
- ZSB-22006
- CVE-2022-22784
- Alto
- 8.1
- CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
O Zoom Client for Meetings (para Android, iOS, Linux, macOS e Windows) anterior à versão 5.10.0 falha ao analisar adequadamente estrofes de XML em mensagens XMPP. Isso pode permitir que um usuário malicioso saia do contexto atual de mensagens XMPP e crie um novo contexto de mensagem para que o cliente de um usuário execute uma variedade de ações. Esse problema poderia ser usado em um ataque mais sofisticado para forjar mensagens XMPP do servidor.
Os usuários podem ajudar a se manter seguros aplicando as atualizações atuais ou baixando o software Zoom mais recente com todas as atualizações de segurança atuais em https://zoom.us/download.
- Zoom Client for Meetings (for Android, iOS, Linux, macOS, and Windows) before version 5.10.0
Relatado por Ivan Fratric do Google Project Zero
| Revision | Data | Descrição |
|---|---|---|
| 1.0 | 05/17/2022 | Publicação inicial |