Cookies de sessão indevidamente limitados no Zoom Client for Meetings

Boletim: ZSB-22007
CVEID: CVE-2022-22785
Gravidade CVSS: Médio
Pontuação CVSS: 5.9
Cadeia de vetores CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Descrição:

O Zoom Client for Meetings (para Android, iOS, Linux, macOS e Windows) anterior à versão 5.10.0 falha ao limitar os cookies de sessão do cliente adequadamente aos domínios do Zoom. Esse problema poderia ser usado em um ataque mais sofisticado para enviar os cookies de sessão do Zoom de um usuário para um domínio que não pertença à Zoom. Isso, possivelmente, permitiria que alguém imitasse um usuário do Zoom.

Os usuários podem ajudar a se manter seguros aplicando as atualizações atuais ou baixando o software Zoom mais recente com todas as atualizações de segurança atuais em https://zoom.us/download.

Produtos afetados:

Zoom Client for Meetings (for Android, iOS, Linux, macOS, and Windows) before version 5.10.0

Fonte:

Relatado por Ivan Fratric do Google Project Zero

Revision	Data	Descrição
1.0	05/17/2022	Publicação inicial

Cookies de sessão indevidamente limitados no Zoom Client for Meetings

Assine para receber atualizações