Zoom 修复中等严重性的安全漏洞

关键要点

• Zoom 近期修复了一个中等严重性的安全漏洞，编号为 CVE-2022-22787。
• 此漏洞可被攻击者利用，以执行恶意代码。
• 攻击者可借此进行 “XMPP stanza smuggling” 攻击，传播恶意软件和间谍软件，无需用户交互。
• 此漏洞由谷歌 Project Zero 的漏洞猎手伊凡·弗拉特里奇发现并报告。

根据
的报道，Zoom 已针对一个中等严重性的安全漏洞发布了修复措施。该漏洞编号为 CVE-2022-22787，可能被滥用以促进恶意代码的执行。

漏洞利用的方式

攻击者可以利用该漏洞，进行“XMPP stanza smuggling” 攻击，通过 Zoom 聊天功能传播恶意软件和
，而无需用户的交互。弗拉特里奇指出：“攻击者唯一需要的能力就是能够通过
XMPP 协议向受害者发送消息。”

漏洞原因与攻击方式

Zoom 客户端和服务器软件中 XML 解析的不一致性被用来允许恶意的 XMPP stanza 伪装传输到受害客户端。此外，通过中间人（man-in-
the-middle）服务器滥用该漏洞还显示了大量的 /clusterswitch端点数据。弗拉特里奇补充道：“因为攻击者已经处于中间人位置，他们可以将任何域名替换为自己的域名，充当反向代理并拦截通信。”

漏洞信息 | 描述
—|—
漏洞编号 | CVE-2022-22787
漏洞严重性 | 中等
攻击方式 | XMPP stanza smuggling
影响 | 恶意软件和间谍软件传播，用户无需交互

此漏洞的披露及修复再次提醒用户定期更新软件，保护个人及公司信息的安全。