Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Alert!: Zoom dichtet Sicherheitslücken in mehreren Produkten und Clients ab

In einigen Programmen des Videokonferenzdienstes Zoom wurden Sicherheitslücken gefunden. Der Hersteller schließt diese mit neuen Programmversionen.

Die gravierendste Schwachstelle mit hohem Schweregrad (CVE-2021-34417, CVSS 7.9) fand sich in der Netzwerk-Proxy-Seite des Webportals der im lokalen Netz installierbaren Zoom On-Premise Meeting Connector Controller, Meeting Connector MMR, Recording Connector, Virtual Room Connector und Virtual Room Connector Load Balancer. Die als Netzwerk-Proxy-Passwort übergebenen Daten wurden nicht korrekt überprüft und hätten von einem Webportal-Administrator zum Einschleusen von Befehlen aus der Ferne – ausgeführt als root – missbraucht werden können.
n denselben Programmen fand sich auch eine Lücke mit mittlerem Risiko (CVE-2021-34418, CVSS 4.0), die zu einem Absturz des Login-Dienstes führen könnte. Es fehlte eine Prüfung, ob bei der Anmeldung auch ein NULL-Byte gesendet wurde, das typischerweise das Ende einer Zeichenkette markiert. Details und genaue Versionsnummern finden sich auf der Zoom Security-Bulletin-Seite.

Weitere Lücken und Updates​

Das Windows-Installationsprogramm des Zoom Client für Meetings hat zudem die digitalen Signaturen von Dateien mit .msi-, .ps1- und .bat-Endungen nicht korrekt überprüft (CVE-2021-34420, CVSS 4.7). Solche Dateien entpackt der Installer und nutzt sie zu Installation der Software. Durch den Fehler hätten Angreifer dem Bericht zufolge bösartige, manipulierte Software installieren können.

In der Linux-Version des Zoom Client für Meetings könnten Angreifer eine manipulierte Fernsteuerungsanfrage bei einer Sitzung mit Screensharing senden, die einen Fehler zum HTML-Einschleusen ausnutzt (CVE-2021-34419, CVSS 3.7). Dies soll Teilnehmer so einer Sitzung für Social-Engineering-Angriffe verwundbar gemacht haben.

Für alle gemeldete Lücken stehen aktualisierte Softwarepakete bereit. Die Server-Software lässt sich zwar nicht öffentlich herunterladen, Clients listet der Hersteller jedoch auf der Download-Seite. Administratoren und Nutzer sollten diese Updates bei nächster sich bietender Gelegenheit einspielen.

Quelle: heise
 
Zurück
Oben