La pandemia ha decretato il successo delle applicazioni dedicate alle videoconferenze, e Zoom è certamente una di queste. E più son diffuse, più le app diventano un bersaglio ideale per portare attacchi informatici, specialmente a causa del fatto che questo genere di applicazioni può accedere alla videocamera e al microfono con relativa facilità.

L’ultima notizia in tal senso riguarda proprio Zoom, in particolare la versione desktop dell’applicazione utilizzata per accedere al servizio, che sino a pochi giorni fa presentava un paio di vulnerabilità critiche molto pericolose, come illustrato dal team di ricerca di Project Zero di Google. La falla in questione, infatti, poteva essere sfruttata per effettuare un attacco anche senza che l’utente effettuasse alcuna interazione con il client. Era sufficiente che questo fosse in esecuzione perché un malintenzionato potesse eseguire del codice non autorizzato.

Le vulnerabilità che hanno permesso la creazione di questa falla sono state denominate CVE-2022-22786 e CVE-2022-22784 e sono state rese inoffensive con un aggiornamento rilasciato la scorsa settimana da Zoom attraverso il suo sistema di aggiornamento automatico del client. Purtroppo sembra che il processo non sia esattamente automatico come dovrebbe essere e ci sono diversi casi in cui si è reso necessario un intervento manuale da parte dell’utente per installare l’ultima versione, quindi è bene verificare la presenza di aggiornamenti qualora siate utilizzatori abituali di Zoom.

Per quanto riguarda il rischio di un attacco, questo poteva essere eseguito dal malintenzionato semplicemente inviando un messaggio alla vittima (e non era necessario che venisse letto) tramite il protocollo XMPP, dando il via ad una serie di azioni che permettevano di influenzare il codice del client e forzare l’installazione di un aggiornamento malevolo che avrebbe dato controllo completo di Zoom all’attaccante. Maggiori dettagli sono disponibili nel post di Project Zero che trovate in FONTE.