Theo đó, lỗ hổng được thiết kế để lừa người dùng Zoom kết nối với một máy chủ trung gian, sau đó kẻ tấn công sẽ bắt đầu thực hiện các hành động tiếp theo. Họ có thể giả mạo tin nhắn như thể nó được gửi đến từ một người dùng khác, hoặc kiểm soát tất cả tin nhắn đến từ máy chủ cũng như máy của bạn.
Những lỗ hổng này được phát hiện bởi nhà nghiên cứu bảo mật Ivan Fratric (thuộc Google Project Zero). “Kẻ gian chỉ cần gửi tin nhắn cho nạn nhân thông qua giao thức XMPP là đã có thể thực hiện cuộc tấn công, không cần sự tương tác từ phía người dùng”.
Theo Hệ thống chấm điểm lỗ hổng (CVSS), lỗ hổng trên Zoom đạt 8.1 điểm, điều này cho thấy đây là một vấn đề khá nghiêm trọng và người dùng nên cập nhật ứng dụng lên phiên bản mới nhất càng sớm càng tốt. Các lỗ hổng ảnh hưởng đến ứng dụng Zoom trên Android, iOS, Linux, macOS và Windows.
Bên cạnh đó, bản cập nhật lần này còn khắc phục lỗ hổng CVE CVE-2022-22786 (Windows), khiến ứng dụng Zoom không thể kiểm tra chính xác phiên bản của gói cài đặt. Do đó, kẻ tấn công có thể lừa người dùng hạ cấp ứng dụng xuống phiên bản kém an toàn hơn.