آسیب‌پذیری‌های مهم در Zoom که هفته گذشته حذف شدند، نیازی به تعامل کاربر نداشتند

بزرگنمایی (اعتبار: زوم)

تیم تحقیقاتی آسیب‌پذیری Project Zero گوگل، آسیب‌پذیری‌های مهمی را که Zoom هفته گذشته وصله کرد، به هکرها اجازه می‌داد تا حملات با کلیک صفر را انجام دهند که از راه دور کدهای مخرب را روی دستگاه‌هایی که نرم‌افزار پیام‌رسان را اجرا می‌کنند، رها می‌کنند.

این آسیب‌پذیری‌ها که به‌عنوان CVE-2022-22786 و CVE-2022-22784 ردیابی می‌شوند، انجام حملات را ممکن می‌سازند، حتی زمانی که قربانی هیچ اقدامی جز باز کردن کلاینت انجام نمی‌دهد. همانطور که ایوان فراتریچ، محقق Google Project Zero در روز سه‌شنبه به تفصیل توضیح داد، اختلاف در نحوه تجزیه و تحلیل پیام‌های XMPP توسط مشتری زوم و سرورهای زوم، محتوای «قاچاق» را ممکن کرد که معمولاً مسدود می‌شد. با ترکیب این کاستی ها با یک اشکال در نحوه عملکرد چک امضای کد Zoom، Fratric به اجرای کامل کد دست یافته است.

این محقق نوشت: تعامل با مصرف کننده برای یک حمله موفق ضروری نیست. فرتریک ادامه داد: “تنها توانایی یک مهاجم این است که بتواند از طریق چت زوم از طریق XMPP به قربانی پیام بفرستد.”