Zoom Client for Meetings 中的工作階段 Cookie 限制不當

公告: ZSB-22007
CVEID: CVE-2022-22785
CVSS 嚴重性: 中
CVSS 得分: 5.9
CVSS 向量字串: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

說明:

5.10.0 版本之前的 (Android、iOS、Linux、macOS 和 Windows 版) Zoom Client for Meetings 無法將用戶端工作階段 Cookie 正確限制於 Zoom 網域。此問題可用於更複雜的攻擊，將使用者的 Zoom 範圍工作階段 Cookie 傳送至非 Zoom 網域。這可能會造成 Zoom 使用者遭到竊聽。

使用者可以透過套用目前更新或從 https://zoom.us/zh-tw/download 下載包含所有當前安全更新的最新 Zoom 軟體來確保自身安全。

受影響的產品:

Zoom Client for Meetings (for Android, iOS, Linux, macOS, and Windows) before version 5.10.0

來源:

由 Google Project Zero 的 Ivan Fratric 舉報

Revision	日期	說明
1.0	05/17/2022	首次出版

Zoom Client for Meetings 中的工作階段 Cookie 限制不當

訂閱最新消息