Zoom, saldırganların hedef uç noktada uzaktan kod yürütmesine izin verebilecek yüksek önem derecesi de dahil olmak üzere çeşitli güvenlik açıklarını düzeltti. (yeni sekmede açılır).
İlk olarak Google Project Zero güvenlik araştırmacısı Ivan Fratric tarafından keşfedilen hata, kurban tarafında herhangi bir etkileşim olmadan kullanılabilir.
“Bir saldırganın ihtiyaç duyduğu tek yetenek, kurbana Zoom üzerinden mesaj gönderebilmektir. (yeni sekmede açılır) XMPP protokolü üzerinden sohbet edin,” dedi Fratric kusurla ilgili açıklamasında.
Yakınlaştırma güvenlik kusurları
CVE-2022-22786 olarak izlenen kusur, Zoom sunucusunun ve istemcininkinin farklı XML ayrıştırma kitaplıkları kullanması ve bunun sonucunda XMPP mesajlarının ikisi tarafından farklı şekilde ayrıştırılması gerçeği etrafında dönüyor. Yalnızca Windows cihazlarda bulunur.
Saldırgan, belirli bir mesaj göndererek hedef istemciyi ortadaki bir sunucuya bağlanmaya ve Zoom’un eski 2019 sürümünü yüklemeye zorlayabilir. Bu, saldırganın daha yıkıcı bir saldırı başlatmasına yardımcı olur.
Araştırmacı, “Bu sürümün yükleyicisi hala düzgün bir şekilde imzalanmış, ancak .cab dosyasında herhangi bir güvenlik denetimi yapmıyor” dedi. “Saldırının etkisini göstermek için, .cab’deki Zoom.exe’yi yalnızca Windows Hesap Makinesi uygulamasını açan bir ikili dosyayla değiştirdim ve ‘güncelleme’ yüklendikten sonra Hesap Makinesi’nin açıldığını gözlemledim.”
Kusur video konferansta ele alındı (yeni sekmede açılır) platformun son güncellemesi. Tüm kullanıcılardan mümkün olan en kısa sürede 5.10.0 sürümüne yama yapmaları istenmektedir. Bu yama ayrıca, kullanıcı oturumu tanımlama bilgilerini Zoom dışı bir alana göndermeyi sağlayan bir güvenlik açığı da dahil olmak üzere bir dizi başka güvenlik açığını da giderir.
Bu yamada düzeltilen diğer güvenlik açıkları CVE-2022-22784, CVE-2022-22785 ve CVE-2022-22787 olarak izlenir ve Android, iOS, Linux, macOS ve Windows işletim sistemlerinde gözlemlenmiştir.
ZDNet’e göre, Fratric kusurları ilk olarak bu yıl Şubat ayında keşfetti, Zoom ise iki aydan biraz daha kısa bir süre sonra 24 Nisan’da düzeltti.
Aracılığıyla: ZDNet (yeni sekmede açılır)