In mehreren Paketen und Varianten der Zoom-Webkonferenz-Software klaffen teils kritische Sicherheitslücken. Aktualisierte Software steht bereit – die die Probleme hoffentlich beseitigt. Die Updates zum Schließen der Rechteausweitungs-Schwachstelle im Mac-Client waren bislang unzureichend, sodass Mac-Nutzer erneut eine Aktualisierung des Clients vornehmen müssen.
Angreifer könnten in Zoom Rooms for Conference Rooms für Windows vor der aktuellen Version 5.11.0 ihre Rechte auf SYSTEM ausweiten (CVE-2022-28752, CVSS 8.8, hoch).
Eine weitere Sicherheitslücke in der On-Premise-Version von Zoom Meeting Connector Zone Controller vor Fassung 4.8.20220419.112 kann aufgrund fehlerhafter Verarbeitung von STUN-Fehlermeldungen aufgrund von Speicherfehlern abstürzen, ein Denial-of-Service ist möglich. Bei Versionen vor 4.8.12.20211115 könnten bösartige Akteure sogar Schadcode einschleusen (CVE-2022-28750, CVSS 7.5, hoch).
Zudem könnten Angreifer in Zoom On-Premise Meeting Connector MMR vor Version 4.8.129.20220714 aufgrund unzureichender Zugriffskontrollen Meetings beitreten, zu denen sie eingeladen wurden. Allerdings können sie den Warteraum umgehen, sich selbst Einlass gewähren sowie die Host-Rolle einnehmen und das Meeting anderweitig stören (CVE-2022-28753+CVE-2022-28754, CVSS 7.1, hoch).
Die aktualisierte Software liegt zum Teil
Quelle: heise
Kritische Sicherheitslücke
Im Zoom-Client for Meetings für Android, iOS, Linux, macOS und Windowskönnten Angreifer aus dem Netz Schadcode einschleusen, da die Software beim Auswerten von URLs patzt. Der Fehler kann auftreten, wenn Nutzer eine bösartig präparierte Meeting-URL aufrufen. Der Link könnte Nutzer auf eine beliebige Netzwerkadresse verbinden lassen, was die Möglichkeit weiterer Angriffe wie das Starten von ausführbaren Dateien aus beliebigen Verzeichnissen eröffnet (CVE-2022-28755, CVSS 9.6, Risiko "kritisch"). Die Software enthält den Fehler ab Version 5.11.0 nicht mehr; zudem bügeln Zoom VDI Windows Meeting Clients ab Version 5.10.7 die Schwachstelle aus.Angreifer könnten in Zoom Rooms for Conference Rooms für Windows vor der aktuellen Version 5.11.0 ihre Rechte auf SYSTEM ausweiten (CVE-2022-28752, CVSS 8.8, hoch).
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
war unzureichend. Mit einer Variation des Angriffs ließ sich die Fehlerbehebung umgehen (CVE-2022-28757, CVSS 8.8, hoch). Zoom Client for Meetings für macOS Version 5.11.6 vom Mittwoch dieser Woche soll die Lücke schließen – dieses Mal hoffentlich richtig.Eine weitere Sicherheitslücke in der On-Premise-Version von Zoom Meeting Connector Zone Controller vor Fassung 4.8.20220419.112 kann aufgrund fehlerhafter Verarbeitung von STUN-Fehlermeldungen aufgrund von Speicherfehlern abstürzen, ein Denial-of-Service ist möglich. Bei Versionen vor 4.8.12.20211115 könnten bösartige Akteure sogar Schadcode einschleusen (CVE-2022-28750, CVSS 7.5, hoch).
Zudem könnten Angreifer in Zoom On-Premise Meeting Connector MMR vor Version 4.8.129.20220714 aufgrund unzureichender Zugriffskontrollen Meetings beitreten, zu denen sie eingeladen wurden. Allerdings können sie den Warteraum umgehen, sich selbst Einlass gewähren sowie die Host-Rolle einnehmen und das Meeting anderweitig stören (CVE-2022-28753+CVE-2022-28754, CVSS 7.1, hoch).
Die aktualisierte Software liegt zum Teil
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. Für Administratoren eines On-Premise Zoom Meeting Connectors stellt das Unternehmen
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
zur Verfügung. Administratoren und Nutzer sollten zügig sicherstellen, die aktuellen Fassungen im Einsatz zu haben, um Cyberkriminellen oder bösartigen Mitarbeitern keine unnötige Angriffsfläche zu bieten.Quelle: heise
