Nach erfolgreichen Attacken auf Zoom Rooms könnten sich Angreifer etwa unter macOS Root-Rechte verschaffen. Sicherheitsupdates sind verfügbar.
Die Entwickler der Videokonferenzsoftware Zoom haben in den Android-, macOS- und Windows-Versionen mehrere Sicherheitslücken geschlossen.
Die Lücken listet der Entwickler im Sicherheitsbereich seiner Website auf. Aufgrund eines Fehlers im Windows-Installer (CVE-2022-36930 "hoch") von Zoom Rooms könnten sich lokale Angreifer mit niedrigen Nutzerrechten System-Rechte verschaffen. Abhilfe schafft die Ausgabe 5.13.0. Über eine weitere Lücke (CVE-2022-36929 "hoch") im Client könnten sich Angreifer ebenfalls System-Rechte verschaffen. Diese Schwachstelle haben die Entwickler in der Version 5.12.7 geschlossen. Wie Attacken konkret aussehen könnten, ist bislang nicht bekannt.
Im Zoom-Rooms-Client für macOS ist es vorstellbar, dass sich Angreifer Root-Rechte erschleichen (CVE-2022-36926 "hoch", CVE-2022-36927 "hoch"). Das soll ab der Version 5.11.3 nicht mehr möglich sein. Aufgrund von schwachen Schlüsseln (CVE-2022-36925 "mittel") könnten Angreifer unter anderem DoS-Attacken ausüben. Dagegen ist die Ausgabe 5.11.4 abgesichert.
Unter Android könnten Angreifer unberechtigt auf Daten zugreifen (CVE-2022-36928 "mittel"). Um das zu verhindern, sollten Nutzer die Version 5.13.0 installieren.
Quelle; heise
Die Entwickler der Videokonferenzsoftware Zoom haben in den Android-, macOS- und Windows-Versionen mehrere Sicherheitslücken geschlossen.
Die Lücken listet der Entwickler im Sicherheitsbereich seiner Website auf. Aufgrund eines Fehlers im Windows-Installer (CVE-2022-36930 "hoch") von Zoom Rooms könnten sich lokale Angreifer mit niedrigen Nutzerrechten System-Rechte verschaffen. Abhilfe schafft die Ausgabe 5.13.0. Über eine weitere Lücke (CVE-2022-36929 "hoch") im Client könnten sich Angreifer ebenfalls System-Rechte verschaffen. Diese Schwachstelle haben die Entwickler in der Version 5.12.7 geschlossen. Wie Attacken konkret aussehen könnten, ist bislang nicht bekannt.
Im Zoom-Rooms-Client für macOS ist es vorstellbar, dass sich Angreifer Root-Rechte erschleichen (CVE-2022-36926 "hoch", CVE-2022-36927 "hoch"). Das soll ab der Version 5.11.3 nicht mehr möglich sein. Aufgrund von schwachen Schlüsseln (CVE-2022-36925 "mittel") könnten Angreifer unter anderem DoS-Attacken ausüben. Dagegen ist die Ausgabe 5.11.4 abgesichert.
Unter Android könnten Angreifer unberechtigt auf Daten zugreifen (CVE-2022-36928 "mittel"). Um das zu verhindern, sollten Nutzer die Version 5.13.0 installieren.
Quelle; heise
