攻击者利用新型 Zoom漏洞，可向用户发送信息进行攻击

流行的视频会议服务 Zoom存在4个安全漏洞，攻击者利用这些漏洞，可以向用户发送特制的可扩展消息和状态协议 ( XMPP ) 消息，并且可以执行恶意代码危害其他用户的聊天。目前，Zoom已发布最新版本5.10.0以解决4个安全漏洞， 并且呼吁用户尽快安装更新版本。

漏洞影响的设备

2022 年 2 月，Google Project Zero 研究人员 Ivan Fratric 发现并报告了4个漏洞，这些漏洞影响（Android、iOS）及PC机（Linux、macOS、Windows）版本Zoom Meetings用户端软件5.10.0以前版本。

错误列表

1、CVE-2022-22784（CVSS 分数：8.1）- Zoom 客户端中用于会议的 XML 解析不正确；

2、CVE-2022-22785（CVSS 分数：5.9）- Zoom Client for Meetings 中的会话 cookie 限制不当；

3、CVE-2022-22786（CVSS 分数：7.5）- 适用于 Windows 的会议的 Zoom 客户端更新包降级；

4、CVE-2022-22787（CVSS 分数：5.9）- Zoom Client for Meetings 中的服务器切换期间主机名验证不足。

借助基于 XMPP 标准构建的 Zoom 聊天功能，攻击者成功利用这些问题，能够强制易受攻击的客户端伪装 Zoom 用户、连接到恶意服务器，甚至下载恶意更新，从而导致任意代码执行源于降级攻击。

研究人员Fratric指出，4项漏洞串联起来则可发动名为“XMPP Stanza偷运”（XMPP Stanza Smuggling）的攻击。攻击者可在聊天对话中发送XMPP消息即可在用户设备上，从恶意服务器安装恶意程序，而且成功的攻击不需对方做任何动作。

具体来说，漏洞利用链可以被武器化以劫持软件更新机制，并使客户端连接到中间人服务器，该服务器提供旧的、安全性较低的 Zoom 客户端版本。

虽然降级攻击针对的是应用程序的 Windows 版本，但 CVE-2022-22784、CVE-2022-22785 和 CVE-2022-22787 会影响 Android、iOS、Linux、macOS 和 Windows。

在 Zoom 解决了两个高严重性漏洞（CVE-2022-22782 和 CVE-2022-22783）后不到一个月，就发布了补丁，这两个漏洞可能导致本地权限升级和内部部署会议服务中的内存内容暴露。还修复了 Zoom 的 macOS 应用程序中的另一个降级攻击 (CVE-2022-22781) 实例。

目前，Zoom 已发布最新版本5.10.0，为了降低因主动利用漏洞而产生的潜在威胁，建议用户更新到最新版本。