In einem Beitrag eines Sicherheitsforschers von Googles Project Zero heißt es, dass die Chat-Funktion von Schwachstellen betroffen ist. Ihm zufolge könnten wegen mangelnder Prüfungen Angreifer mit präparierten Chat-Nachrichten ohne das Zutun von Opfern Attacken ausgeführt werden. Dass Angreifer über den Zoom-Chat über das XMPP-Protokoll Nachrichten senden, sei die einzige Voraussetzung.
Auf XML basiert das Messaging-Protokoll. Es sendet kurze XML-Schnipsel über eine Streaming-Verbindung. Über den gleichen Kanal, über den Kontrollnachrichten des Servers laufen, geschieht auch das Senden von Chats. Fehler führen zu Parsing-Inkosistenzen. Angreifer könnten so beliebige XMPP-Stanzas an Zoom schicken und den Client dazu zwingen, sich mit bösartigen Servern zu verbinden. Angreifer könnten so beispielsweise ein Fake-Update mit Schadcode unterschieben. Nach erfolgreichen Attacken könnten aber auch Nachrichten im Namen anderer Nutzer verschickt werden. Der Downgrade auf eine ältere, unsichere Version des Clients sei außerdem vorstellbar.
Laut dem Sicherheitscenter der Zoom-Entwickler seien im Zoom-Client 5.10.0 diese vier Lücken geschlossen worden. Alle vorigen Ausgaben sind angreifbar.
Quelle: heise online Redaktion
Weitere Informationen zum Thema Business Security finden Sie hier.
