Synthese
In Zoom-Produkten wurden mehrere neue Schwachstellen entdeckt, darunter vier mit der Schwere „hoch“. Diese Sicherheitslücken könnten erhöhte Berechtigungen ermöglichen und/oder einen Denial-of-Service-Angriff in betroffenen Produkten verursachen.
Risiko
Geschätzte Auswirkung der Verwundbarkeit auf die Referenzgemeinschaft: Mittel (64,74)
Typologie
- Denial of Service
- Privilege Escalation
Betroffene Produkte und Versionen
Zoom
- Workplace Desktop App für Windows, Versionen vor 6.3.0
- Workplace Desktop App für macOS, Versionen vor 6.3.0
- Workplace Desktop App für Linux, Versionen vor 6.3.0
- Workplace App für iOS, Versionen vor 6.3.0
- Workplace App für Android, Versionen vor 6.3.0
- Workplace VDI Client für Windows, Versionen vor 6.2.12 (außer Version 6.1.16)
- Rooms Controller für Windows, Versionen vor 6.3.0
- Rooms Controller für macOS, Versionen vor 6.3.0
- Rooms Controller für Linux, Versionen vor 6.3.0
- Rooms Controller für Android, Versionen vor 6.3.0
- Rooms Client für Windows, Versionen vor 6.3.0
- Rooms Client für macOS, Versionen vor 6.3.0
- Rooms Client für Android, Versionen vor 6.3.0
- Rooms Client für iPad, Versionen vor 6.3.0
- Meeting SDK für Windows, Versionen vor 6.3.0
- Meeting SDK für iOS, Versionen vor 6.3.0
- Meeting SDK für Android, Versionen vor 6.3.0
- Meeting SDK für macOS, Versionen vor 6.3.0
- Meeting SDK für Linux, Versionen vor 6.3.0
Minderungsmaßnahmen
Gemäß den Aussagen des Herstellers wird empfohlen, anfällige Produkte anhand der im Abschnitt „Referenzen“ aufgeführten Sicherheitsbulletins zu aktualisieren.
Nachfolgend sind nur die CVEs für Schwachstellen mit dem Schweregrad „hoch“ aufgeführt:
Referenzen
https://www.zoom.com/en/trust/security-bulletin/zsb-25010/
https://www.zoom.com/en/trust/security-bulletin/zsb-25011/
https://www.zoom.com/en/trust/security-bulletin/zsb-25012/
https://www.zoom.com/it/trust/security-bulletin/?cms_guid=false&lang=it-IT
https://www.zoom.com/en/trust/security-bulletin/zsb-25009/
1Diese Schätzung erfolgt unter Berücksichtigung mehrerer Parameter, darunter: CVSS, Verfügbarkeit von Patches/Workarounds und PoC, Verbreitung der betroffenen Software/Geräte in der Referenz-Community.