新的Zoom漏洞可以让攻击者通过向受害者发送消息来攻击他们

流行的视频会议服务Zoom解决了多达四个安全漏洞，通过发送精心编制的可扩展消息和状态协议（XMPP）消息并执行恶意代码，可以利用这些漏洞在聊天时危害其他用户。

从CVE-2022-22784到CVE-2022-22787，问题的严重程度介于5.9到8.1之间。2022年2月，谷歌零号项目的伊万·弗拉特里克（IvanFratric）发现并报告了所有四个缺陷。

错误列表如下-

• （CVSS得分：8.1）-Zoom Client for Meetings中的XML解析不正确
• （CVSS得分：5.9）-Zoom Client for Meetings中的会话cookie约束不当
• （CVSS分数：7.5）-在Zoom Client for Meetings for Windows中更新包降级
• CVE-2022-22787（CVSS得分：5.9）-在服务器切换Zoom Client for Meetings期间主机名验证不足

Zoom的聊天功能建立在XMPP标准之上，成功利用这些问题可使攻击者迫使易受攻击的客户端伪装Zoom用户，连接到恶意服务器，甚至下载恶意更新，从而导致降级攻击导致的任意代码执行。

Fratric将零点击攻击序列称为“XMPP节走私”，并补充道“一个用户可能能够像来自另一个用户一样欺骗消息”，“攻击者可以发送控制消息，这些消息将被接受，就像来自服务器一样。”

其核心是，这些问题利用Zoom客户端和服务器中XML解析器之间的解析不一致来“走私”任意XMPP节—；XMPP—中的一种基本通信单元；给受害者客户。

具体而言，利用链可以被武器化，以劫持软件更新机制，并使客户端连接到中间人服务器，该服务器提供的是Zoom客户端的旧版本，安全性较低。

虽然降级攻击只针对该应用的Windows版本，但CVE-2022-22784、CVE-2022-22785和CVE-2022-22787会影响Android、iOS、Linux、macOS和Windows。

Zoom解决了两个严重缺陷（CVE-2022-22782和CVE-2022-22783），这两个缺陷可能导致本地权限提升和内部会议服务中内存内容的暴露，之后不到一个月，补丁就发布了。还修复了Zoom的macOS应用程序中的另一个降级攻击实例（CVE-2022-22781）。

建议该应用程序的用户更新至最新版本（5.10.0），以减轻因积极利用缺陷而产生的任何潜在威胁。