Charles TechCharles Tech
  • Tests High-Tech
    • Smartphones
      • iPhone
      • Asus
      • Huawei
      • Poco
      • Samsung
      • Xiaomi
    • Ordinateurs
      • PC fixe / gamer
      • PC portables
    • Composants PC
      • Cartes Graphiques
      • Processeurs
      • SSD
    • Eléctromenager
      • Aspirateurs robots
    • Périphériques
      • Claviers
      • Souris
  • Actu Tech
  • Bons plans
  • Dossiers
  • Guides d’achat
  • Tutos
  • Français
    • English
    • Deutsch
    • Español
    • Italiano
    • 日本語
    • Polski
Vous lisez Zoom : Des failles utilisées pour hacker des utilisateurs
Font ResizerAa
Charles TechCharles Tech
Font ResizerAa
Rechercher ...
  • Tests High-Tech
    • Smartphones
    • Ordinateurs
    • Composants PC
    • Eléctromenager
    • Périphériques
  • Actu Tech
  • Bons plans
  • Dossiers
  • Guides d’achat
  • Tutos
  • Français
    • English
    • Deutsch
    • Español
    • Italiano
    • 日本語
    • Polski
Suivez-nous
Charles Tech > Actualité High-Tech : Toutes nos dernières news > Zoom : Des failles utilisées pour hacker des utilisateurs

Zoom : Des failles utilisées pour hacker des utilisateurs

Louis Touzalin
Louis Touzalin
Published: 29/05/2022
Last updated: 29/05/2022
Ce site utilise des liens affiliés qui participent aux revenus du site. En les utilisant, ça ne vous coûte pas plus cher, mais un pourcentage nous est reversé pour continuer à vous informer et à proposer des tests toujours plus complets.
Partager

Le service populaire de vidéoconférence Zoom a résolu pas moins de quatre vulnérabilités de sécurité, qui pouvaient être exploitées pour compromettre un autre utilisateur lors d’un chat en envoyant des messages XMPP (Extensible Messaging and Presence Protocol) spécialement conçus et exécuter du code malveillant.

De CVE-2022-22784 à CVE-2022-22787, les problèmes ont un degré de gravité compris entre 5,9 et 8,1. C’est Ivan Fratric, du projet Zero de Google, qui a découvert et signalé les quatre failles en février 2022. La liste des CVE est la suivante :

  • CVE-2022-22784 (score CVSS : 8.1) – Parsage XML incorrect dans le client Zoom pour les réunions.
  • CVE-2022-22785 (score CVSS : 5.9) – Contrainte inadéquate des cookies de session dans Zoom Client for Meetings.
  • CVE-2022-22786 (score CVSS : 7.5) – Déclassement du paquet de mise à jour dans Zoom Client for Meetings for Windows
  • CVE-2022-22787 (score CVSS : 5.9) – Validation insuffisante du nom d’hôte lors du changement de serveur dans Zoom Client for Meetings

La fonctionnalité de chat de Zoom étant basée sur la norme XMPP, une exploitation réussie de ces problèmes pourrait permettre à un attaquant de forcer un client vulnérable à se faire passer pour un utilisateur Zoom, à se connecter à un serveur malveillant, voire à télécharger une mise à jour malveillante, ce qui entraînerait une exécution de code arbitraire résultant d’une attaque par déclassement.

D'autres articles intéressants

Snapchat va récompenser les créateurs avec les Challenges Spotlight
Les Realme 9 Pro et 9 Pro+ et leur dos révolutionnaire arrivent
Lancement imminent de la OnePlus Pad en Inde
L’application Gemini sur Android offre des réponses en temps réel
Avec iOS 17 Apple permettrait des téléchargements hors App Store

zoom

Fratric a qualifié la séquence d’attaque de type « zéro-clic » de « XMPP Stanza Smuggling« , ajoutant qu' »un utilisateur pourrait être en mesure d’usurper des messages comme s’ils provenaient d’un autre utilisateur » et qu' »un attaquant peut envoyer des messages de contrôle qui seront acceptés comme s’ils provenaient du serveur ».

Au fond, les problèmes profitent des incohérences d’analyse entre les analyseurs XML du client et du serveur de Zoom pour « faire passer » des stances XMPP arbitraires – une unité de base de communication dans XMPP – au client victime.

Plus précisément, la chaîne d’exploitation peut être utilisée pour détourner le mécanisme de mise à jour du logiciel et faire en sorte que le client se connecte à un serveur de type « man-in-the-middle » qui sert une ancienne version, moins sécurisée, du client Zoom.

Alors que l’attaque par rétrogradation ne concerne que la version Windows de l’application, CVE-2022-22784, CVE-2022-22785 et CVE-2022-22787 ont un impact sur Android, iOS, Linux, macOS et Windows.

Ces correctifs arrivent moins d’un mois après que Zoom ait corrigé deux failles de haute gravité (CVE-2022-22782 et CVE-2022-22783) qui pouvaient conduire à une élévation locale des privilèges et à l’exposition du contenu de la mémoire dans ses services de réunion sur site. Un autre cas d’attaque par déclassement (CVE-2022-22781) dans l’application macOS de Zoom a également été corrigé. Il est recommandé aux utilisateurs de l’application de procéder à une mise à jour vers la dernière version (5.10.0) pour atténuer toute menace potentielle découlant de l’exploitation active des failles.

Partager cet article
Facebook Email Copy Link Imprimer
1 note
  • belghagi says:

    merci sympa le partage

    Répondre

Laisser une note Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Sélectionnez une note

Notre partenaire

Kraken Elite 420 Cycle One Banner 300x600 FR

Réseaux sociaux

23kLike
38kSuivre
170Suivre
2.8kAbonnement
10.8kSuivre
1.1kSuivre
34Suivre

Vous aimerez aussi ...

Microsoft Surface Laptop Studio : nouvelle machine Microsoft aux caractéristique pus qu’attrayantes !

25/04/2023

Samsung Galaxy Z Flip 4 : Tout ce que l’on sait du nouveau smartphone

01/06/2022
OnePlus Pad 2 hero

Lancement du OnePlus Pad 2 : Voici ce que l’on sait sur la tablette

17/07/2024

Honor MagicBook View 14 : Le nouvel ultraportable de Honor arrive en France

26/10/2021

A ne pas louper !

400 black 400 golden Horizontal (1)
Honor 400 : derniers jours pour profiter d’une offre exceptionnelle sur ce smartphone
Bons plans
amazon firestick tv
Bon plan : le Fire Stick HD d’Amazon sacrifie son prix
Bons plans
honor 400 appareil photo
Honor 400 : une offre de lancement prolongée jusqu’au 23 juin 
Bons plans
  • Annoncer sur CharlesTech
  • Mentions légales
  • Contactez nous
  • À propos
  • Plan de site
© Charles Tech 2017 - 2025 - Toute reproduction (même partielle) interdite sous peine de poursuites.
Re !

Connectez-vous

Username or Email Address
Password

Vous avez perdu votre mot de passe ?