Un chercheur a découvert une grave vulnérabilité de type cross-site scripting (XSS) dans l’application Zoom Whiteboard. Zoom a corrigé la faille à temps, empêchant toute exploitation malveillante.
Vulnérabilité de Zoom Whiteboard
En partageant les détails dans un billet de blog, Eugene Lim, alias Spaceraccoon, a élaboré une vulnérabilité de scripting intersite dans l’application Zoom Whiteboard.
Zoom Whiteboard est une fonctionnalité relativement nouvelle lancée début 2022 avec la version 5.10.3 de Zoom comme une plateforme interactive permettant aux utilisateurs de partager des présentations, des idées, des conférences, etc. avec des visuels créatifs tels que des croquis dessinés à la main. Pour soutenir ces fonctionnalités, la plateforme prend en charge différents objets, comme des formes, des textes, du texte enrichi, des images et des notes autocollantes. Cette fonctionnalité de communication en temps quasi réel est réalisée à l’aide de JavaScript et d’un navigateur intégré. Les versions Web et client natif de Zoom prennent toutes deux en charge cette fonctionnalité.
En analysant le code côté client pour cette fonctionnalité, le chercheur a mis en évidence le tampon de protocole (protobuf) comme la zone clé déclenchant le XSS. Protocol Buffer est un mécanisme open-source, neutre en termes de langage et multiplateforme pour sérialiser des données structurées. Il facilite le développement de programmes pour communiquer sur un réseau ou pour le stockage de données.
Dans Zoom Whiteboard, les tampons de protocole transfèrent les ClipboardItem les objets du Presse-papiers via Websocket du client au serveur. En termes simples, il transmet les données collées “telles quelles” au serveur. C’est là que le chercheur a observé un XSS, notamment lors du transfert d’objets HTML.
Pendant que le client transforme les protobuf dans l’objet React composant, où React aseptise automatiquement le HTML, le chercheur a observé que certaines balises échappaient encore à l’aseptisation.
Lim a démontré cette faille en ajoutant un script dans le Presse-papiers, dont le collage a déclenché le XSS puisqu’il a échappé à la sanitisation.
Zoom a corrigé la faille
Après avoir découvert le bug, le chercheur a révélé la vulnérabilité aux responsables de Zoom le 28 juillet 2022. Il a apprécié la réponse rapide de Zoom, qui a rapidement trié le bug et publié un correctif le 21 août 2022.
Comme le correctif a déjà été publié, les utilisateurs de Zoom doivent avoir reçu la correction du bug à l’heure qu’il est. Néanmoins, il est préférable de s’assurer que tes appareils utilisent les dernières versions de Zoom.
