Le service de vid\u00e9oconf\u00e9rence populaire Zoom a r\u00e9solu<\/a> jusqu’\u00e0 quatre vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9, qui pourraient \u00eatre exploit\u00e9es pour compromettre un autre utilisateur via le chat en envoyant un protocole de messagerie extensible et de pr\u00e9sence sp\u00e9cialement con\u00e7u (XMPP<\/a>) et ex\u00e9cuter du code malveillant.<\/p>\n Suivis de CVE-2022-22784 \u00e0 CVE-2022-22787, les probl\u00e8mes varient entre 5,9 et 8,1 en gravit\u00e9. Ivan Fratric de Google Project Zero a \u00e9t\u00e9 cr\u00e9dit\u00e9 d’avoir d\u00e9couvert et signal\u00e9 les quatre failles en f\u00e9vrier 2022.<\/p>\n La liste des bogues est la suivante –<\/p>\n Avec la fonctionnalit\u00e9 de chat de Zoom construite au-dessus de la norme XMPP, l’exploitation r\u00e9ussie des probl\u00e8mes pourrait permettre \u00e0 un attaquant de forcer un client vuln\u00e9rable \u00e0 masquer un utilisateur de Zoom, \u00e0 se connecter \u00e0 un serveur malveillant et m\u00eame \u00e0 t\u00e9l\u00e9charger une mise \u00e0 jour malveillante, entra\u00eenant une ex\u00e9cution de code arbitraire. issu d’un attaque de r\u00e9trogradation<\/a>.<\/p>\n Fratric a surnomm\u00e9 la s\u00e9quence d’attaque sans clic comme un cas de “Contrebande de strophes XMPP<\/a>“, ajoutant qu'”un utilisateur pourrait \u00eatre en mesure d’usurper des messages comme s’ils provenaient d’un autre utilisateur” et qu'”un attaquant peut envoyer des messages de contr\u00f4le qui seront accept\u00e9s comme s’ils provenaient du serveur”.<\/p>\n \u00c0 la base, les probl\u00e8mes tirent parti des incoh\u00e9rences d’analyse entre les analyseurs XML dans le client et le serveur de Zoom pour “passer” arbitrairement Strophes XMPP<\/a> \u2014 une unit\u00e9 de communication de base dans XMPP \u2014 au client victime.<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Nouvelle-variante-Chaos-Ransomware-Builder-quotYashmaquot-Decouvert-a-letat-sauvage.png\")
<\/a><\/div>\n\n
![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\")
<\/a><\/div>\n