Zoom Video Communications har fjernet en kjede med sårbarheter som finnes i alle versjoner av Zoom-klientene til Windows, MacOS, Linux, Android og IOS. Dette skjedde allerede den 17. mai med versjon 5.10.0 av klientene, så mange er allerede beskyttet. Men nå har langt flere detaljer om sårbarhetene blitt kjent.
Kjeden av sårbarheter ble beskrevet av sikkerhetsforskeren Ivan Fratric i Google Project Zero i begynnelsen av februar, men den har vært unntatt offentlighet fram til tirsdag denne uken.
Ifølge Fratric dreier det seg altså om en sårbarhetskjede som gjør det mulig for ondsinnede brukere å kompromittere en annen bruker via chat-tjenesten i Zoom, uten at offeret må lokkes til å gjøre noe. Denne tjenesten er basert på den XML-baserte (Extensible Markup Language) XMPP-protokollen (Extensible Messaging and Presence Protocol), som også benyttes av flere andre tjenester og en rekke ulike klienter.
Fire sårbarheter
Den første sårbarheten i kjeden utnytter forskjeller i hvordan Zoom utfører syntaktisk analyse (parsing) på server- og klientnivå. Dette gjør det mulig å «smugle» vilkårlige stanzaer – de grunnleggende, XML-baserte kommunikasjonsdelene i XMPP – til offerets klient.
– Derfra, ved å sende spesielt utformede kontrollstanzaer, kan angriperen tvinge offerets klient til å koble seg til en ondsinnet server og dermed gjøre det hele om til et «man in the middle»-angrep, skriver Fratric.
Til slutt, ved å fange opp og modifisere spørringer og responser knyttet til klientoppdatering, vil offerets klient kunne laste ned og kjøre en ondsinnet oppdatering, noe som i praksis gjør dette til et angrep med vilkårlig kode og potensial for stor skade. Det er også mulig med et nedgraderingsangrep mot klienten ved å omgå signatursjekkingen i installasjonsprogrammet for oppdateringer.
Fratric har demonstrert at dette fungerer i versjon 5.9.3 av klienten for 64-bits Windows, men det kan være at hele eller deler av kjeden også fungerer på de andre plattformene Zoom tilbys til.
Zoom Video Communications omtaler alle de fire sårbarheten på denne siden.
