[CVE-2022-22784] Lỗ hổng mới trong Zoom cho phép attacker tấn công người dùng chỉ bằng cách gửi tin nhắn

Ứng dụng họp online phổ biến Zoom vừa vá tới 4 lỗ hổng bảo mật có thể bị khai thác để tấn công các người dùng thông qua việc gửi trực tiếp tới họ các đoạn tin nhắn dạng Extensible Messaging and Presence Protocol (XMPP) và thực thi mã độc hại.

Với chức năng chat trong Zoom được xây dựng dựa trên XMPP standard, việc khai thác thành công lỗ hổng có thể khiến client trên máy user kết nối tới server giả mạo, download bản update giả mạo dẫn tới việc thực thi mã độc thông qua downgrade attack.

Danh sách 4 CVEs liên quan:

• CVE-2022-22784 (CVSS score: 8.1) - Improper XML Parsing in Zoom Client for Meetings
• CVE-2022-22785 (CVSS score: 5.9) - Improperly constrained session cookies in Zoom Client for Meetings
• CVE-2022-22786 (CVSS score: 7.5) - Update package downgrade in Zoom Client for Meetings for Windows
• CVE-2022-22787 (CVSS score: 5.9) - Insufficient hostname validation during server switch in Zoom Client for Meetings

Phiên bản ảnh hưởng
Zoom Client for Meetings < 5.10.0

Downgrade attack chỉ xảy ra trên phiên bản Zoom Windows 
CVE-2022-22784, CVE-2022-22785 và CVE-2022-22787 tác động đến Android, iOS, Linux, macOS và Windows.

Cách khắc phục: 
Khuyến nghị người dùng Zoom update ứng dụng lên phiên bản mới nhất (5.10.6) (https://zoom.us/download).

Tham khảo: 

• https://thehackernews.com/2022/05/new-zoom-flaws-could-let-attackers-hack.html  
• https://nvd.nist.gov/vuln/detail/CVE-2022-22784  
• https://nvd.nist.gov/vuln/detail/CVE-2022-22785  
• https://nvd.nist.gov/vuln/detail/CVE-2022-22786  
• https://nvd.nist.gov/vuln/detail/CVE-2022-22787