Эксперт по безопасности подразделения Google Project Zero Иван Фретрик обнаружил в сервисе для видеосвязи Zoom 4 уязвимости, которые позволяют злоумышленнику отправить жертве вредоносные сообщения, замаскировав их под отправку с легитимного сервера.

Специалист классифицировал уязвимости по некорректному парсингу XML в клиенте Zoom, некорректно ограниченных cookies сессии, даунгрейду пакетов обновлений в клиенте Zoom для Windows и недостаточной валидации хоста при переключении сервера.

Отмечается, что наименее опасная «дыра» в безопасности приложения получила 5,9 баллов, а самая опасная — 8,1 балл. Благодаря им хакер может добиться даже подключения Zoom к вредоносному серверу и загрузки потенциально опасного обновления.

Пользователям рекомендуется обновить Zoom до версии 5.10.0, чтобы снизить риски эксплуатации выявленных багов.