In einigen Programmen des Videokonferenzdienstes Zoom wurden Sicherheitslücken gefunden. Der Hersteller schließt diese mit neuen Programmversionen.
Die gravierendste Schwachstelle mit hohem Schweregrad (
n denselben Programmen fand sich auch eine Lücke mit mittlerem Risiko (
In der Linux-Version des Zoom Client für Meetings könnten Angreifer eine manipulierte Fernsteuerungsanfrage bei einer Sitzung mit Screensharing senden, die einen Fehler zum HTML-Einschleusen ausnutzt (
Für alle gemeldete Lücken stehen aktualisierte Softwarepakete bereit. Die Server-Software lässt sich zwar nicht öffentlich herunterladen, Clients listet der Hersteller jedoch auf der
Quelle: heise
Die gravierendste Schwachstelle mit hohem Schweregrad (
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, CVSS 7.9) fand sich in der Netzwerk-Proxy-Seite des Webportals der im lokalen Netz installierbaren Zoom On-Premise Meeting Connector Controller, Meeting Connector MMR, Recording Connector, Virtual Room Connector und Virtual Room Connector Load Balancer. Die als Netzwerk-Proxy-Passwort übergebenen Daten wurden nicht korrekt überprüft und hätten von einem Webportal-Administrator zum Einschleusen von Befehlen aus der Ferne – ausgeführt als root – missbraucht werden können.n denselben Programmen fand sich auch eine Lücke mit mittlerem Risiko (
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, CVSS 4.0), die zu einem Absturz des Login-Dienstes führen könnte. Es fehlte eine Prüfung, ob bei der Anmeldung auch ein NULL-Byte gesendet wurde, das typischerweise das Ende einer Zeichenkette markiert. Details und genaue Versionsnummern finden sich auf der Zoom
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Weitere Lücken und Updates
Das Windows-Installationsprogramm des Zoom Client für Meetings hat zudem die digitalen Signaturen von Dateien mit .msi-, .ps1- und .bat-Endungen nicht korrekt überprüft (Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, CVSS 4.7). Solche Dateien entpackt der Installer und nutzt sie zu Installation der Software. Durch den Fehler hätten Angreifer dem Bericht zufolge bösartige, manipulierte Software installieren können.In der Linux-Version des Zoom Client für Meetings könnten Angreifer eine manipulierte Fernsteuerungsanfrage bei einer Sitzung mit Screensharing senden, die einen Fehler zum HTML-Einschleusen ausnutzt (
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, CVSS 3.7). Dies soll Teilnehmer so einer Sitzung für Social-Engineering-Angriffe verwundbar gemacht haben.Für alle gemeldete Lücken stehen aktualisierte Softwarepakete bereit. Die Server-Software lässt sich zwar nicht öffentlich herunterladen, Clients listet der Hersteller jedoch auf der
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. Administratoren und Nutzer sollten diese Updates bei nächster sich bietender Gelegenheit einspielen.Quelle: heise