Le fournisseur de visioconférence Zoom a comblé une salve de 4 failles de sécurité affectant ses produits Client for Meetings pour Android, iOS, Linux, macOS et Windows ainsi que Rooms for Conference Room pour Windows. Tous les utilisateurs sont invités à appliquer dès que possible la mise à jour corrective incluse dans la v5.10.0 de ses solutions. Les 4 failles, CVE-2022-22787, CVE-2022-22786, CVE-2022-22785 et CVE-2022-22784 font parti d'une chaîne de vuln détaillée par le chercheur en sécurité Ivan Fratric travaillant pour Project Zero de Google.
« La vulnérabilité initiale (baptisée XMPP Stanza Smuggling) exploite les incohérences d'analyse entre les analyseurs XML sur le client et le serveur de Zoom afin de pouvoir faire passer des scripts XMPP arbitraires au client cible », a indiqué Ivan Fratric. « En envoyant une commande contrôle spécifique, l'attaquant peut forcer le client victime à se connecter à un serveur malveillant, transformant ainsi cette attaque primitive par une attaque de type man-in-the-middle ». Avec à la clé le risque pour la cible de télécharger une mise à jour malveillante compromise permettant au pirate d'exécuter du code arbitraire.
Un score CVSS maximal de 8.1
Le chercheur de Project Zero a validé ce scénario de compromission dans les v5.9.3 des produits Client for Meetings pour Android, iOS, Linux, macOS et Windows ainsi que Rooms for Conference Room pour Windows. Mais d'autres plateformes sont probablement concernées. Zoom a été informé de ces failles en février dernier et a procédé depuis aux correctifs dans la dernière version 5.10.0 que les utilisateurs ont donc tout intérêt à appliquer. Les scores CVSS de ces vuln dont le niveau de dangerosité est considéré comme étant modéré ou élevé, vont de 5.9 à 8.1.