Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Alert! Webkonferenzen: Zoom schließt mehrere Sicherheitslücken

Zoom hat Updates zum Schließen von teils hochriskanten Sicherheitslücken veröffentlicht. Die Webkonferenzsoftware ermöglicht Angreifern etwa die Ausweitung ihrer Rechte im System.

Insgesamt sieben Schwachstellen hat Zoom gemeldet. Davon stuften die Entwickler sechs als hohes Risiko ein, eine hingegen als niedriges. Allein fünf Lücken betreffen Zoom Rooms.

Zoom Rooms mit vielen Schwachstellen​

Die Verwaltung mit Zoom Rooms ermöglicht authentifizierten Angreifern aufgrund unzureichender Zugriffskontrollen die Ausweitung ihrer Rechte (CVE-2023-36538, CVSS 8.4, Risiko "hoch"). Denselben Effekt hat eine fehlerhafte Rechteverwaltung (CVE-2023-34118, CVE-2023-36537; beide CVSS 7.3, hoch).
Auch den Installer für Zoom Rooms können bösartige Akteure zur Privilegienerhöhung missbrauchen. Das ermöglicht etwa ein genutzter, nicht vertrauenswürdiger Suchpfad (CVE-2023-36536, CVSS 8.2, hoch) und ungesicherte temporäre Dateien (CVE-2023-34119, CVSS 8.2, hoch). Das Update auf Zoom Rooms 5.15.0 oder neuer behebt die Fehler.

Eine unzureichende Prüfung von Eingaben im Zoom Desktop Client vor der aktuellen Version 5.15.0 ermöglicht nicht authentifizierten Angreifern aus dem Netz die Erhöhung der Zugriffsrechte (CVE-2023-34116, CVSS 8.2, hoch). Eine sogenannte Relative-Path-Traversal-Lücke findet sich zudem im Zoom Client SDKvor Fassung 5.15.0 (CVE-2023-34117, CVSS 3.3, niedrig).

IT-Verantwortliche sollten zügig sicherstellen, die fehlerbereinigten Software-Versionen einzusetzen. Nutzerinnen und Nutzer können die Installationspakete auf der Download-Seite von Zoom herunterladen.


Im Juni hatte Zoom ebenfalls hochriskante Sicherheitslücken in der Webkonferenz-Software gestopft. Dabei ging es um 12 Schwachstellen, die unter anderem bösartigen Akteuren auch die Erhöhung der Privilegien ermöglichten.
Quelle: heise
 
Zurück
Oben