نجحت خدمة مؤتمرات الفيديو الشهيرة Zoom في حل ما يصل إلى أربع ثغرات أمنية، والتي يمكن استغلالها لتهديد مستخدم آخر عبر الدردشة عن طريق إرسال رسائل بروتوكول الرسائل الموسعة والحضورExtensible Messaging and Presence Protocol ( XMPP ) المصممة خصيصًا لتنفيذ التعليمات البرمجية الضارة.
تم تتبع المشكلات من CVE-2022-22784 حتى CVE-2022-22787، وتتراوح خطورة المشكلات بين 5.9 و 8.1. يُنسب الفضل إلى إيفان فراتريك من Google Project Zero في اكتشاف جميع الثغرات الأربعة والإبلاغ عنها في فبراير 2022.
قائمة الأخطاء على النحو التالي:
CVE-2022-22784 (درجة CVSS: 8.1) : تحليل XML غير صحيح في Zoom Client Meetings
CVE-2022-22785 (درجة CVSS: 5.9): ملفات تعريف ارتباط الجلسة المقيدة بشكل غير صحيح في Zoom Client Meetings
CVE-2022-22786 (درجة CVSS: 7.5): قم بتحديث حزمة الرجوع إلى إصدار أقدم في Zoom Client for Meetings for Windows
CVE-2022-22787 (درجة CVSS: 5.9) : التحقق من صحة اسم المضيف غير كافٍ أثناء تبديل الخادم في Zoom Client for Meetings
مع وظيفة الدردشة في Zoom المبنية على أعلى معيار XMPP ، يمكن أن يؤدي الاستغلال الناجح للمشكلات إلى تمكين المهاجم من إجبار عميل ضعيف على التنكر على مستخدم Zoom، والاتصال بخادم ضار، وحتى تنزيل تحديث خادع، مما يؤدي إلى تنفيذ تعليمات برمجية عشوائية الناجم عن هجوم الرجوع إلى إصدار أقدم.
تصل التصحيحات بعد أقل من شهر من معالجة Zoom لعيبين شديدي الخطورة (CVE-2022-22782 و CVE-2022-22783) قد يؤديان إلى تصعيد الامتيازات المحلية وعرض محتوى الذاكرة في خدمات الاجتماعات داخل الشركة. تم أيضًا إصلاح مثال آخر لهجوم الرجوع إلى إصدار أقدم (CVE-2022-22781) في تطبيق macOS الخاص بـ Zoom.
يوصى مستخدمو التطبيق بالتحديث إلى أحدث إصدار (5.10.0) للتخفيف من أي تهديدات محتملة تنشأ عن الاستغلال النشط للعيوب.