El popular servei de videoconferència Zoom ha resolt fins a quatre vulnerabilitats de seguretat, que podrien ser explotades per comprometre un altre usuari a través del xat mitjançant l’enviament de missatges de missatgeria extensible i presència (XMPP) especialment elaborats i executar codi maliciós.

Rastrejats des de CVE-2022-22784 fins a CVE-2022-22787, els problemes oscil·len entre 5,9 i 8,1 en gravetat. Ivan Fratric de Google Project Zero ha estat acreditat per descobrir i informar dels quatre defectes al febrer de 2022.

Amb la funcionalitat de xat de Zoom construïda sobre l’estàndard XMPP, l’explotació exitosa dels problemes podria permetre a un atacant forçar a un client vulnerable a fer-se passar per un usuari de Zoom, connectar-se a un servidor maliciós, i fins i tot descarregar una actualització falsa, la qual cosa resulta en l’execució de codi arbitrari derivat d’un atac de downgrade.

Fratric va qualificar la seqüència d’atac de zero-clic com un cas de “Contraban d’Estades XMPP“, afegint que “un usuari podria ser capaç de falsificar missatges com si vinguessin d’un altre usuari” i que “un atacant pot enviar missatges de control que seran acceptats com si vinguessin del servidor”.