Popüler video konferans hizmeti Zoom, özel hazırlanmış Extensible Messaging and Presence Protocol( XMPP ) mesajları göndererek ve kötü amaçlı kod yürüterek, sohbet üzerinden bir kullanıcının güvenliğini tehlikeye atan dört adet güvenlik açığını için güncelleme yayınladı. CVE-2022-22784’ten CVE-2022-22787’ye kadar izlenen sorunların önem derecesi 5,9 ile 8,1 arasında değişmekte.
Zafiyetler aşağıdaki gibi:
- CVE-2022-22784 (CVSS score: 8.1) – Improper XML Parsing in Zoom Client for Meetings
- CVE-2022-22785 (CVSS score: 5.9) – Improperly constrained session cookies in Zoom Client for Meetings
- CVE-2022-22786 (CVSS score: 7.5) – Update package downgrade in Zoom Client for Meetings for Windows
- CVE-2022-22787 (CVSS score: 5.9) – Insufficient hostname validation during server switch in Zoom Client for Meetings
Zafiyetlerden yararlanılması, saldırganın savunmasız bir Zoom kullanıcısını kötü niyetli bir sunucuya bağlanmaya ve hatta sahte bir güncelleme indirmeye zorlayarak rastgele kod yürütülmesine neden olabiliyor.
Kullanıcılarının, kusurların aktif olarak kullanılmasından kaynaklanan olası tehditleri azaltmak için en son sürüme (5.10.0) güncelleme yapmaları öneriliyor.