在 Zoom 和 Zoom Rooms 客户端的 Zoom Opener 安装程序中注入 DLL
- ZSB-22010
- CVE-2022-22788
- 高
- 7.1
- CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
用户尝试在未安装 Zoom Meeting 客户端的情况下加入会议时,会从“启动会议”页面下载 Zoom Opener 安装程序。低于 5.10.3 版本的 Zoom Client for Meetings 和低于 5.10.3 版本的 Windows 版 Zoom Rooms 会议室解决方案的 Zoom Opener 安装程序容易受到 DLL 注入攻击。此漏洞可用于在受害者主机上运行任意代码。
用户确保自身安全的方法是:删除旧版本的 Zoom Opener 安装程序,并点击“启动会议”页面上的“立即下载”按钮运行最新版本的 Zoom Opener 安装程序。用户还可以通过从 https://zoom.us/zh-cn/download 下载包含所有当前安全更新的最新 Zoom 软件来保护自己。
- Zoom Client for Meetings for Windows before version 5.10.3
- All Zoom Rooms for Conference Room for Windows before version 5.10.3
报告者:James Tsz Ko Yeung
| Revision | 日期 | 说明 |
|---|---|---|
| 1.0 | 06/14/2022 | 首次出版 |