视频软件 Zoom 曝安全漏洞，通过发送特制消息进行降级攻击

在最近的网络安全研究中发现，视频会议软件 Zoom 近期修复了4个重大安全漏洞，这些漏洞可被利用通过发送特制的可扩展消息和状态协议 ( XMPP ) 消息，来执行恶意代码危害用户。

该4个安全漏洞列表如下：

• CVE-2022-22784（CVSS 评分：8.1）- Zoom 客户端中用于会议的 XML 解析不正确。
• CVE-2022-22785（CVSS 评分：5.9）- Zoom Client for Meetings 中的会话 cookie 限制不当。
• CVE-2022-22786（CVSS 评分：7.5）- 适用于 Windows 的会议的 Zoom 客户端更新包降级。
• CVE-2022-22787（CVSS 评分：5.9）- Zoom Client for Meetings 中的服务器切换期间主机名验证不足。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，借助基于 XMPP 标准构建的 Zoom 聊天功能，一旦被以上安全漏洞成功利用，攻击者可以控制客户端伪装成Zoom用户，连接到指定的恶意服务器并下载恶意程序更新，从而实现任意代码执行。

这些安全漏洞的核心是利用了 Zoom 客户端和服务器中 XML 解析器之间的解析不一致，将任意 XMPP 节（XMPP 中的基本通信单元）数据“走私”到受害者客户端。

具体来说，漏洞利用链可以被武器化以劫持软件更新机制，并使客户端连接到中间人服务器，该中间人服务器提供旧的、安全性较低的 Zoom 客户端版本，以实现客户端的降级攻击。

虽然降级攻击针对的是应用程序的 Windows 版本，但 CVE-2022-22784、CVE-2022-22785 和 CVE-2022-22787 漏洞会影响 Android、iOS、Linux、macOS等客户端版本。

鉴于本次曝光的安全漏洞威胁较大，建议应用程序的用户尽快更新到最新版本 (5.10.0)，以减轻因主动利用漏洞而产生的潜在攻击威胁。