Aktuelles
Von:
Filter
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Hardware & Software Alert!: Zoom dichtet Sicherheitslücken in mehreren Produkten und Clients ab

In einigen Programmen des Videokonferenzdienstes Zoom wurden Sicherheitslücken gefunden. Der Hersteller schließt diese mit neuen Programmversionen.

Die gravierendste Schwachstelle mit hohem Schweregrad (
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
, CVSS 7.9) fand sich in der Netzwerk-Proxy-Seite des Webportals der im lokalen Netz installierbaren Zoom On-Premise Meeting Connector Controller, Meeting Connector MMR, Recording Connector, Virtual Room Connector und Virtual Room Connector Load Balancer. Die als Netzwerk-Proxy-Passwort übergebenen Daten wurden nicht korrekt überprüft und hätten von einem Webportal-Administrator zum Einschleusen von Befehlen aus der Ferne – ausgeführt als root – missbraucht werden können.
n denselben Programmen fand sich auch eine Lücke mit mittlerem Risiko (
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
, CVSS 4.0), die zu einem Absturz des Login-Dienstes führen könnte. Es fehlte eine Prüfung, ob bei der Anmeldung auch ein NULL-Byte gesendet wurde, das typischerweise das Ende einer Zeichenkette markiert. Details und genaue Versionsnummern finden sich auf der Zoom
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
.

Weitere Lücken und Updates​

Das Windows-Installationsprogramm des Zoom Client für Meetings hat zudem die digitalen Signaturen von Dateien mit .msi-, .ps1- und .bat-Endungen nicht korrekt überprüft (
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
, CVSS 4.7). Solche Dateien entpackt der Installer und nutzt sie zu Installation der Software. Durch den Fehler hätten Angreifer dem Bericht zufolge bösartige, manipulierte Software installieren können.

In der Linux-Version des Zoom Client für Meetings könnten Angreifer eine manipulierte Fernsteuerungsanfrage bei einer Sitzung mit Screensharing senden, die einen Fehler zum HTML-Einschleusen ausnutzt (
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
, CVSS 3.7). Dies soll Teilnehmer so einer Sitzung für Social-Engineering-Angriffe verwundbar gemacht haben.

Für alle gemeldete Lücken stehen aktualisierte Softwarepakete bereit. Die Server-Software lässt sich zwar nicht öffentlich herunterladen, Clients listet der Hersteller jedoch auf der
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
. Administratoren und Nutzer sollten diese Updates bei nächster sich bietender Gelegenheit einspielen.

Quelle: heise
 
Zum Vergrößern anklicken....

Ähnliche Themen

u040201
  • Artikel
Hardware & Software Alert! Webkonferenzen: Zoom schließt mehrere Sicherheitslücken
Antworten
0
Aufrufe
709
u040201
u040201
u040201
  • Artikel
Hardware & Software Alert! Webkonferenzen: Sicherheitslücke in Zoom ermöglicht Sitzungsübernahme
Antworten
0
Aufrufe
570
u040201
u040201
u040201
  • Artikel
Hardware & Software Webkonferenzen: Teils kritische Lücken in Zoom
Antworten
0
Aufrufe
628
u040201
u040201
u040201
  • Artikel
Hardware & Software Alert! Web-Meetings: Zoom-Updates dichten Schwachstellen ab
Antworten
0
Aufrufe
456
u040201
u040201
josef.13
  • Artikel
Hardware & Software Meeting-Client Zoom unter Android, macOS und Windows angreifbar
Antworten
0
Aufrufe
734
josef.13
josef.13
Zurück
Oben