Zoom修補(bǔ)可讓攻擊者發(fā)送消息攻擊用戶(hù)的零點(diǎn)擊漏洞

Zoom上周發(fā)出安全公告，修補(bǔ)4項(xiàng)漏洞，這些漏洞串聯(lián)起來(lái)讓攻擊者發(fā)送消息給用戶(hù)，不需用戶(hù)交互，即可導(dǎo)致惡意程序在PC或手機(jī)上執(zhí)行的漏洞。

這4項(xiàng)漏洞為Google Project Zero研究人員Ivan Fratric披露，影響手機(jī)（Android、iOS）及PC機(jī)（Linux、macOS、Windows）版本Zoom Meetings用戶(hù)端軟件5.10.0以前版本。Zoom已發(fā)布最新版本5.10.0，呼吁用戶(hù)盡快安裝更新版本。

4項(xiàng)漏洞中，最嚴(yán)重的是CVE-2022-22784，它是這個(gè)軟件對(duì)XMPP消息的XML Stanza解析不當(dāng)，其次是CVE-2022-22786，屬于更新組件降級(jí)（Update package downgrade），兩者風(fēng)險(xiǎn)值分別為8.1及7.5。另2項(xiàng)風(fēng)險(xiǎn)值5.9的漏洞中，CVE-2022-22787屬于對(duì)服務(wù)器交換調(diào)用的主機(jī)名稱(chēng)驗(yàn)證不當(dāng)，CVE-2022-22785則是未能將用戶(hù)端連接cookies限制在Zoom域名。

雖然僅一個(gè)重大風(fēng)險(xiǎn)漏洞，但是研究人員Fratric指出，4項(xiàng)漏洞串聯(lián)起來(lái)則可發(fā)動(dòng)名為“XMPP Stanza偷運(yùn)”（XMPP Stanza Smuggling）的攻擊。攻擊者可在聊天對(duì)話(huà)中發(fā)送XMPP消息即可在用戶(hù)設(shè)備上，從惡意服務(wù)器安裝惡意程序，而且成功的攻擊不需對(duì)方做任何動(dòng)作。

研究人員說(shuō)明，XMPP Stanza偷運(yùn)可讓攻擊者置換用戶(hù)接到的消息，可用于多種目的，像是冒充是來(lái)自另一個(gè)用戶(hù)的消息，到冒充某臺(tái)遠(yuǎn)程服務(wù)器（如Dropbox、Sharepoint、Google Drive等）發(fā)送控制指令。

研究人員也展示概念驗(yàn)證，設(shè)立服務(wù)器進(jìn)行中間人攻擊（man-in-the-middle），之后則可執(zhí)行任意程序代碼。