Charles TechCharles Tech
  • Tests High-Tech
    • Smartphones
      • iPhone
      • Asus
      • Huawei
      • Poco
      • Samsung
      • Xiaomi
    • Ordinateurs
      • PC fixe / gamer
      • PC portables
    • Composants PC
      • Cartes Graphiques
      • Processeurs
      • SSD
    • Eléctromenager
      • Aspirateurs robots
    • Périphériques
      • Claviers
      • Souris
  • Actu Tech
  • Bons plans
  • Dossiers
  • Guides d’achat
  • Tutos
  • Français
    • English
    • Deutsch
    • Español
    • Italiano
    • 日本語
    • Polski
Vous lisez Zoom : Des failles utilisées pour hacker des utilisateurs
Font ResizerAa
Charles TechCharles Tech
Font ResizerAa
Rechercher ...
  • Tests High-Tech
    • Smartphones
    • Ordinateurs
    • Composants PC
    • Eléctromenager
    • Périphériques
  • Actu Tech
  • Bons plans
  • Dossiers
  • Guides d’achat
  • Tutos
  • Français
    • English
    • Deutsch
    • Español
    • Italiano
    • 日本語
    • Polski
Suivez-nous
Charles Tech > Actualité High-Tech : Toutes nos dernières news > Zoom : Des failles utilisées pour hacker des utilisateurs

Zoom : Des failles utilisées pour hacker des utilisateurs

Louis Touzalin
Louis Touzalin
Published: 29/05/2022
Last updated: 29/05/2022
Ce site utilise des liens affiliés qui participent aux revenus du site. En les utilisant, ça ne vous coûte pas plus cher, mais un pourcentage nous est reversé pour continuer à vous informer et à proposer des tests toujours plus complets.
Partager
Share at:
ChatGPT Perplexity WhatsApp LinkedIn X Grok Google AI

Le service populaire de vidéoconférence Zoom a résolu pas moins de quatre vulnérabilités de sécurité, qui pouvaient être exploitées pour compromettre un autre utilisateur lors d’un chat en envoyant des messages XMPP (Extensible Messaging and Presence Protocol) spécialement conçus et exécuter du code malveillant.

De CVE-2022-22784 à CVE-2022-22787, les problèmes ont un degré de gravité compris entre 5,9 et 8,1. C’est Ivan Fratric, du projet Zero de Google, qui a découvert et signalé les quatre failles en février 2022. La liste des CVE est la suivante :

  • CVE-2022-22784 (score CVSS : 8.1) – Parsage XML incorrect dans le client Zoom pour les réunions.
  • CVE-2022-22785 (score CVSS : 5.9) – Contrainte inadéquate des cookies de session dans Zoom Client for Meetings.
  • CVE-2022-22786 (score CVSS : 7.5) – Déclassement du paquet de mise à jour dans Zoom Client for Meetings for Windows
  • CVE-2022-22787 (score CVSS : 5.9) – Validation insuffisante du nom d’hôte lors du changement de serveur dans Zoom Client for Meetings

La fonctionnalité de chat de Zoom étant basée sur la norme XMPP, une exploitation réussie de ces problèmes pourrait permettre à un attaquant de forcer un client vulnérable à se faire passer pour un utilisateur Zoom, à se connecter à un serveur malveillant, voire à télécharger une mise à jour malveillante, ce qui entraînerait une exécution de code arbitraire résultant d’une attaque par déclassement.

D'autres articles intéressants

Vulnérabilité Dos dans HomeKit patchée dans iOS 15.2.1
CES 2021 : LG présente de nouveaux écrans PC « Ultra »
Voici tous les modèles custom de GPU Nvidia RTX 4070
Teufel CAGE : le nouveau casque gamer est disponible
AVerMedia lance le X’TRA GO GC515, premier dock de capture de la série GO

zoom

Fratric a qualifié la séquence d’attaque de type « zéro-clic » de « XMPP Stanza Smuggling« , ajoutant qu' »un utilisateur pourrait être en mesure d’usurper des messages comme s’ils provenaient d’un autre utilisateur » et qu' »un attaquant peut envoyer des messages de contrôle qui seront acceptés comme s’ils provenaient du serveur ».

Au fond, les problèmes profitent des incohérences d’analyse entre les analyseurs XML du client et du serveur de Zoom pour « faire passer » des stances XMPP arbitraires – une unité de base de communication dans XMPP – au client victime.

Plus précisément, la chaîne d’exploitation peut être utilisée pour détourner le mécanisme de mise à jour du logiciel et faire en sorte que le client se connecte à un serveur de type « man-in-the-middle » qui sert une ancienne version, moins sécurisée, du client Zoom.

Alors que l’attaque par rétrogradation ne concerne que la version Windows de l’application, CVE-2022-22784, CVE-2022-22785 et CVE-2022-22787 ont un impact sur Android, iOS, Linux, macOS et Windows.

Ces correctifs arrivent moins d’un mois après que Zoom ait corrigé deux failles de haute gravité (CVE-2022-22782 et CVE-2022-22783) qui pouvaient conduire à une élévation locale des privilèges et à l’exposition du contenu de la mémoire dans ses services de réunion sur site. Un autre cas d’attaque par déclassement (CVE-2022-22781) dans l’application macOS de Zoom a également été corrigé. Il est recommandé aux utilisateurs de l’application de procéder à une mise à jour vers la dernière version (5.10.0) pour atténuer toute menace potentielle découlant de l’exploitation active des failles.

Share at:
ChatGPT Perplexity WhatsApp LinkedIn X Grok Google AI
Partager cet article
Facebook Email Copy Link Imprimer
1 note
  • belghagi says:

    merci sympa le partage

    Répondre

Laisser une note Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Sélectionnez une note

Notre partenaire

Kraken Elite 420 Cycle One Banner 300x600 FR

Réseaux sociaux

23kLike
38kSuivre
170Suivre
2.8kAbonnement
10.8kSuivre
1.1kSuivre
34Suivre

Vous aimerez aussi ...

Twitter Blue n’a pas encore beaucoup d’abonnés, même aux États-Unis

07/02/2023

Realme C21-Y et Realme C25Y : Les nouveaux modèles de smartphones entrés de gamme

24/04/2023

Samsung équipe le premier Carrefour Flash 10/10, le concept storede Carrefour

09/12/2021
fallout 4 geforce now

Fallout 4 et Fallout 76 sont maintenant disponibles sur GeForce Now

11/04/2024

A ne pas louper !

awol promotions
Plus de 4500€ de réduction sur ce système home cinéma complet
Bons plans
400 black 400 golden Horizontal (1)
Honor 400 : derniers jours pour profiter d’une offre exceptionnelle sur ce smartphone
Bons plans
amazon firestick tv
Bon plan : le Fire Stick HD d’Amazon sacrifie son prix
Bons plans
  • Annoncer sur CharlesTech
  • Mentions légales
  • Contactez nous
  • À propos
  • Plan de site
© Charles Tech 2017 - 2025 - Toute reproduction (même partielle) interdite sous peine de poursuites.
Re !

Connectez-vous

Username or Email Address
Password

Vous avez perdu votre mot de passe ?