Zoom修補可讓攻擊者傳送訊息攻擊用戶的零點擊漏洞

Zoom上周發出安全公告，修補4項漏洞，這些漏洞串聯起來讓攻擊者傳送訊息給用戶，不需用戶互動，即可導致惡意程式在PC或手機上執行的漏洞。

這4項漏洞為Google Project Zero研究人員Ivan Fratric揭露，影響手機（Android、iOS）及桌機（Linux、macOS、Windows）版本Zoom Meetings用戶端軟體5.10.0以前版本。Zoom已釋出最新版本5.10.0，呼籲用戶儘速安裝更新版本。

4項漏洞中，最嚴重的是CVE-2022-22784，它是這個軟體對XMPP訊息的XML Stanza解析不當，其次是CVE-2022-22786，屬於更新套件降級（Update package downgrade），兩者風險值分別為8.1及7.5。另2項風險值5.9的漏洞中，CVE-2022-22787屬於對伺服器交換呼叫的主機名稱驗證不當， CVE-2022-22785則是未能將用戶端連線cookies限制在Zoom網域。

雖然僅一個重大風險漏洞，但是研究人員Fratric指出，4項漏洞串聯起來則可發動名為「XMPP Stanza 偷運」（XMPP Stanza Smuggling）的攻擊。攻擊者可在聊天對話中傳送XMPP訊息即可在用戶裝置上，從惡意伺服器安裝惡意程式，而且成功的攻擊不需對方做任何動作。

研究人員說明，XMPP Stanza偷運可讓攻擊者置換用戶接到的訊息，可用於多種目的，像是冒充是來自另一個用戶的訊息，到冒充某臺遠端伺服器（如Dropbox、Sharepoint、Google Drive等）傳送控制指令。

研究人員也展示概念驗證，設立伺服器進行中間人攻擊（man-in-the-middle），之後則可執行任意程式碼。