In einer aktuellen Version der Videokonferenz-Software Zoom haben die Entwickler vier Sicherheitslücken geschlossen. Angreifer könnten Chats abfangen oder sogar Schadcode ausführen. Wie aus einem Beitrag eines Sicherheitsforschers von Googles Project Zero hervorgeht, ist die Chat-Funktion von den Schwachstellen betroffen. Aufgrund von mangelnden Prüfungen könnten ihm zufolge Angreifer mit präparierten Chat-Nachrichten ohne das Zutun von Opfern Attacken ausführen. Die einzige Voraussetzung sei, dass Angreifer über den Zoom-Chat über das XMPP-Protokoll Nachrichten senden können. Der Feind in meinem Chat Das Messaging-Protokoll basiert auf XML und sendet kurze XML-Schnipsel (Stanzas) über eine Stream-Verbindung. Das Senden von Chats auf dieser Basis geschieht über den gleichen Kanal, über den auch Kontrollnachrichten des Servers laufen. Aufgrund von Fehlern kommt es zu Parsing-Inkonsistenzen und Angreifer könnten beliebige XMPP-Stanzas an Zoom schicken und so den Client etwa dazu zwingen, sich mit einem bösartigen Server zu verbinden. Dadurch könnten Angreifer Opfern beispielsweise ein Fake-Update mit Schadcode unterschieben. Sie könnten nach erfolgreichen Attacken aber auch Nachrichten im Namen anderer Nutzer verschicken oder sich als Man-in-the-Middle in Verbindungen einklinken. Auch der Downgrade auf eine ältere, unsichere Version des Clients sei vorstellbar. Sicherheitsupdate installieren In ihrem Sicherheitscenter geben die Zoom-Entwickler an, dass sie die Lücken (CVE-2022-22784 "hoch", CVE-2022-22785 "mittel", CVE-2022-22786 "hoch", CVE-2022-22787 "mittel) im Zoom-Client 5.10.0 geschlossen haben. Alle vorigen Ausgaben sollen angreifbar sein. (des) Zur Startseite Sicherheitsupdate: Angreifer könnten Zoom-Chats belauschen
- Details
- Heise RSS Feed
- Hauptkategorie: IT News aus aller Welt
- Kategorie: Sicherheitsinfos
In einer aktuellen Version der Videokonferenz-Software Zoom haben die Entwickler vier Sicherheitslücken geschlossen. Angreifer könnten Chats abfangen oder sogar Schadcode ausführen. Wie aus einem Beitrag eines Sicherheitsforschers von Googles Project Zero hervorgeht, ist die Chat-Funktion von den Schwachstellen betroffen. Aufgrund von mangelnden Prüfungen könnten ihm zufolge Angreifer mit präparierten Chat-Nachrichten ohne das Zutun von Opfern Attacken ausführen. Die einzige Voraussetzung sei, dass Angreifer über den Zoom-Chat über das XMPP-Protokoll Nachrichten senden können. Der Feind in meinem Chat Das Messaging-Protokoll basiert auf XML und sendet kurze XML-Schnipsel (Stanzas) über eine Stream-Verbindung. Das Senden von Chats auf dieser Basis geschieht über den gleichen Kanal, über den auch Kontrollnachrichten des Servers laufen. Aufgrund von Fehlern kommt es zu Parsing-Inkonsistenzen und Angreifer könnten beliebige XMPP-Stanzas an Zoom schicken und so den Client etwa dazu zwingen, sich mit einem bösartigen Server zu verbinden. Dadurch könnten Angreifer Opfern beispielsweise ein Fake-Update mit Schadcode unterschieben. Sie könnten nach erfolgreichen Attacken aber auch Nachrichten im Namen anderer Nutzer verschicken oder sich als Man-in-the-Middle in Verbindungen einklinken. Auch der Downgrade auf eine ältere, unsichere Version des Clients sei vorstellbar. Sicherheitsupdate installieren In ihrem Sicherheitscenter geben die Zoom-Entwickler an, dass sie die Lücken (CVE-2022-22784 "hoch", CVE-2022-22785 "mittel", CVE-2022-22786 "hoch", CVE-2022-22787 "mittel) im Zoom-Client 5.10.0 geschlossen haben. Alle vorigen Ausgaben sollen angreifbar sein. (des) Zur Startseite - Zugriffe: 90