Phân tích XML không đúng cách trong Zoom Client for Meetings
- ZSB-22006
- CVE-2022-22784
- Cao
- 8.1
- CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Zoom Client for Meetings (đối với Android, iOS, Linux, macOS và Windows) trước phiên bản 5.10.0 không phân tích đúng các đơn vị XML trong tin nhắn XMPP. Điều này có thể cho phép người dùng độc hại thoát khỏi ngữ cảnh tin nhắn XMPP hiện tại và tạo ngữ cảnh tin nhắn mới để yêu cầu máy khách của người nhận thực hiện nhiều hành động khác nhau. Vấn đề này có thể bị lợi dụng trong một cuộc tấn công tinh vi hơn để giả mạo tin nhắn XMPP từ máy chủ.
Người dùng có thể đảm bảo an toàn cho mình bằng cách áp dụng các bản cập nhật hiện tại hoặc tải xuống phần mềm Zoom mới nhất với tất cả các bản cập nhật bảo mật hiện tại từ https://zoom.us/download.
- Zoom Client for Meetings (for Android, iOS, Linux, macOS, and Windows) before version 5.10.0
Đã báo cáo bởi Ivan Fratric từ Google Project Zero
| Revision | Ngày | Mô tả |
|---|---|---|
| 1.0 | 05/17/2022 | Xuất bản lần đầu |