Zoom invite ses utilisateurs à mettre à jour leur client vers la version 5.10.0 afin de corriger plusieurs failles de sécurité découvertes par Ivan Fratric, chercheur en sécurité du Google Project Zero.
« L’utilisateur n’a pas besoin d’interagir pour que l’attaque réussisse. La seule capacité dont l’attaquant aurait besoin est celle de pouvoir envoyer un message à sa victime par le biais du chat Zoom sur le protocole XMPP », met en garde le chercheur dans sa description des vulnérabilités du logiciel.
Ivan Fratric a découvert une chaîne d’attaque pouvant finalement conduire à l’exécution de code à distance en examinant la façon dont les messages XMPP sont analysés différemment par le serveur et un client sur Zoom – puisqu’ils utilisent des bibliothèques d’analyse XML différentes.
Man-in-the-middle
Le chercheur explique qu’en envoyant un message spécial, il a été en mesure de déclencher la connexion de clients à un serveur de type man-in-the-middle servant une ancienne version du client Zoom datant de mi-2019.
« Le programme d’installation de cette version est toujours correctement signé, cependant il n’effectue aucun contrôle de sécurité sur le fichier .cab », précise-t-il.
« Pour démontrer l’impact de l’attaque, j’ai remplacé Zoom.exe dans le .cab par un binaire qui ouvre simplement l’application Calculatrice de Windows. J’ai ensuite observé que Calculatrice était ouverte après l’installation de la « mise à jour ». »
Mises à jour disponibles
Dans son bulletin de sécurité publié la semaine dernière, Zoom indique que le chercheur en sécurité a également trouvé un moyen d’envoyer les cookies de session de l’utilisateur vers un domaine autre que Zoom, ce qui pourrait permettre une usurpation d’identité.
La vulnérabilité CVE-2022-22786 permettant de rétrograder le client n’impacte que les utilisateurs de Windows, tandis que les trois autres problèmes – CVE-2022-22784, CVE-2022-22785, et CVE-2022-22787 – impactent Android, iOS, Linux, macOS, et Windows.
Ivan Fratric a découvert ces vulnérabilités en février. Zoom a corrigé ses problèmes côté serveur le même mois, et publié des mises à jour le 24 avril.
Source : ZDNet.com
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));