Zoom čet poruke mogu da zaraze telefone, PC i Mac računare
Zoom je ispravio bezbednosni propust u svom softveru za video konferencije koji bi haker mogao da iskoristi sa čet porukama kako bi potencijalno izvršio zlonamerni kod na uređaju žrtve.
Google Project Zero otklanja grešku koja uključuje XML parsing
Greška, poznata kao CVE-2022-22787, dobila je CVSS ocenu ozbiljnosti 5,9 od 10. Ova greška utiče na Zoom Client for Meetings koji radi na Android, iOS, Linux, macOS i Windows sistemima pre verzije 5.10.0, a korisnici bi trebalo da preuzmu najnoviju verziju softvera da bi se zaštitili od ove ranjivosti proizvoljnog daljinskog izvršavanja koda. Rezultat je da bi neko ko može da vam šalje čet poruke mogao da izazove da vaša ranjiva Zoom klijent aplikacija instalira zlonamerni kod, kao što su malver i špijunski softver, sa proizvoljnog servera. Iskorišćavanje ovoga je malo komplikovano, tako da prevaranti možda neće pohrliti na to, ali ipak bi trebalo da ažurirate svoju aplikaciju. Kao što je Zoom objasnio u bezbednosnom biltenu, ove ranije verzije softvera ne uspevaju „da pravilno provere ime hosta tokom zahteva za promenu servera“.Googleov Project Zero lovac na bagove, Ivan Fratric pronašao je grešku i prijavio je gigantu za video konferencije još u februaru. Kako je Fratric objasnio u izveštaju koji je danas objavljen, nije potrebna interakcija korisnika da bi se izveo napad, koji je opisao kao „krijumčarenje XMPP stanza (strofa)“.
XMPP je protokol za razmenu poruka koji Zoom koristi za svoju čet funkcionalnost. Radi tako što šalje kratke delove XML-a koji se nazivaju strofe, preko strim veze. Međutim, koristi istu vezu za slanje klijentskih poruka kao i za slanje kontrolnih poruka sa servera. Ranjivost zloupotrebljava nedoslednosti između XML parsera u Zoom-ovom klijentskom i serverskom softveru da bi „prokrijumčarila“ zlonamerne XMPP strofe do klijenta žrtve, napisao je Fratric.
Krijumčarenje XMPP strofa može da se koristi za razne nedobronamerne svrhe — sve od lažiranja poruka kako bi izgledale kao da dolaze od drugog korisnika, do slanja kontrolnih poruka koje će biti prihvaćene kao da dolaze sa servera. Međutim, Frantric je primetio da „najuticajniji vektor“ u ranjivosti krijumčarenja strofe može dozvoliti napadaču da iskoristi klaster switch. Slanje vrlo specifične strofe, koju je detaljno opisao, rezultira kreiranjem zadatka ClusterSwitch u Zoom klijentu sa veb domenom koji kontroliše napadač kao parametrom. Kreiranje man-in-the-middle (MITM) servera za iskorišćavanje ove greške takođe je otkrilo gomilu podataka sa krajnje tačke /clusterswitch, uključujući listu domena za različite usluge Zoom. „Pošto je napadač već u MITM poziciji, može da zameni bilo koji od domena svojim, delujući kao obrnuti proksi i presrećući komunikaciju“, napisao je Fratric. Za ovaj dokaz koncepta, zamenio je domen koji se koristi za Zoom veb server serverom koji je kontrolisao, što mu je omogućilo da vidi i menja saobraćaj između klijenta i Zoom veb servera. Ukratko: ažurirajte aplikaciju ako već niste.
Izvor: Theregister