Trust Center Security, Privacy, Blogs Additional Resources

Sicherheitsmeldungen

Alle Schweregrade
  • Alle Schweregrade
  • Kritisch
  • Hoch
  • Mittel
  • Niedrig
Alle CVE
  • Alle CVE
  • CVE-2023-39209
  • CVE-2023-39214
  • CVE-2023-39213
  • CVE-2023-39212
  • CVE-2023-39211
  • CVE-2023-39210
  • CVE-2023-39218
  • CVE-2023-39217
  • CVE-2023-39216
  • CVE-2023-36535
  • CVE-2023-36534
  • CVE-2023-36533
  • CVE-2023-36532
  • CVE-2023-36541
  • CVE-2023-36540
  • CVE-2023-36538
  • CVE-2023-36537
  • CVE-2023-36536
  • CVE-2023-34119
  • CVE-2023-34118
  • CVE-2023-34117
  • CVE-2023-34116
  • CVE-2023-36539
  • CVE-2023-34115
  • CVE-2023-34114
  • CVE-2023-34113
  • CVE-2023-34122
  • CVE-2023-34121
  • CVE-2023-34120
  • CVE-2023-28603
  • CVE-2023-28602
  • CVE-2023-28601
  • CVE-2023-28600
  • CVE-2023-28599
  • CVE-2023-28598
  • CVE-2023-28597
  • CVE-2023-28596
  • CVE-2023-22883
  • CVE-2023-22881
    CVE-2023-22882
  • CVE-2023-22880
  • CVE-2022-36930
  • CVE-2022-36929
  • CVE-2022-36928
  • CVE-2022-36926
    CVE-2022-36927
  • CVE-2022-36925
  • CVE-2022-36924
  • CVE-2022-28768
  • CVE-2022-28766
  • CVE-2022-28764
  • CVE-2022-28763
  • CVE-2022-28762
  • CVE-2022-28761
  • CVE-2022-28760
  • CVE-2022-28758
    CVE-2022-28759
  • CVE-2022-28757
  • CVE-2022-28756
  • CVE-2022-28751
  • CVE-2022-28753
    CVE-2022-28754
  • CVE-2022-28755
  • CVE-2022-28750
  • CVE-2022-28749
  • CVE-2022-22788
  • CVE-2022-22787
  • CVE-2022-22786
  • CVE-2022-22785
  • CVE-2022-22784
  • CVE-2022-22783
  • CVE-2022-22782
  • CVE-2022-22781
  • CVE-2022-22780
  • CVE-2022-22779
  • CVE-2021-34426
  • CVE-2021-34425
  • CVE-2021-34424
  • CVE-2021-34423
  • CVE-2021-34422
  • CVE-2021-34421
  • CVE-2021-34420
  • CVE-2021-34419
  • CVE-2021-34418
  • CVE-2021-34417
  • CVE-2021-34416
  • CVE-2021-34415
  • CVE-2021-34414
  • CVE-2021-34413
  • CVE-2021-34412
  • CVE-2021-34411
  • CVE-2021-34408
  • CVE-2021-33907
  • CVE-2021-30480
  • CVE-2021-28133
  • CVE-2020-9767
  • CVE-2020-11443
  • CVE-2019-13567
  • CVE-2019-13450
  • CVE-2019-13449
Suchen

Sicherheitsmeldungen

Zoom stellt einzelnen Benutzern im Zusammenhang mit einer Zoom-Sicherheitsmeldung keine Hinweise zur Auswirkung von Schwachstellen oder weitere Details zu Schwachstellen bereit. Wir raten Benutzern, die neueste Version der Zoom-Software herunterzuladen, um die aktuellen Bugfixes und Sicherheitsverbesserungen zu erhalten.

ZSB Datum Titel Schweregrad CVE (falls zutreffend)
ZSB-23041 08/08/2023 Zoom-Anwendung für Windows – Unsachgemäße Eingabeprüfung Mittel CVE-2023-39209

Schweregrad: Mittel

CVSS-Ergebnis: 5.9

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Beschreibung: Die unsachgemäße Eingabeprüfung in der Zoom-Anwendung für Windows vor der Version 5.15.5 kann es einem authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff Informationen offenzulegen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.15.5

Quelle: Gemeldet vom Zoom Offensive Security Team.

ZSB-23039 08/08/2023 SDKs der Zoom-Anwendung – Offenlegung vertraulicher Informationen Hoch CVE-2023-39214

Schweregrad: Hoch

CVSS-Ergebnis: 7.6

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H

Beschreibung: Die Offenlegung vertraulicher Informationen in den SDKs der Zoom-Anwendung vor der Version 5.15.5 kann es einem authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff einen Denial of Service zu aktivieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • SDK der Zoom-Anwendung für Windows: vor Version 5.15.5
  • SDK der Zoom-Anwendung für iOS: vor Version 5.15.5
  • SDK der Zoom-Anwendung für Android: vor Version 5.15.5
  • SDK der Zoom-Anwendung für macOS: vor Version 5.15.5
  • SDK der Zoom-Anwendung für Linux: vor Version 5.15.5

Quelle: Gemeldet vom Zoom Offensive Security Team.

ZSB-23038 08/08/2023 Zoom-Anwendung für Windows und Zoom VDI-Anwendung – Unsachgemäße Neutralisierung besonderer Elemente Kritisch CVE-2023-39213

Schweregrad: Kritisch

CVSS-Ergebnis: 9.6

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Beschreibung: Die unsachgemäße Neutralisierung besonderer Elemente in der Zoom-Anwendung für Windows und der Zoom VDI-Anwendung vor der Version 5.15.2 kann es einem nicht authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff eine Eskalation der Berechtigungen zu aktivieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.15.2
  • Zoom VDI-Anwendung: vor 5.15.2

Quelle: Gemeldet vom Zoom Offensive Security Team.

ZSB-23037 08/08/2023 Zoom Rooms für Windows – Nicht vertrauenswürdiger Suchpfad Hoch CVE-2023-39212

Schweregrad: Hoch

CVSS-Ergebnis: 7.9

CVSS-Vektorstring: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

Beschreibung: Der nicht vertrauenswürdige Suchpfad in Zoom Rooms für Windows vor Version 5.15.5 kann es einem authentifizierten Benutzer ermöglichen, über den lokalen Zugriff einen Denial of Service zu aktivieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Rooms für Windows: vor Version 5.15.5

Quelle: Gemeldet von sim0nsecurity

ZSB-23036 08/08/2023 Zoom-Anwendung für Windows und Zoom Rooms für Windows – Unsachgemäße Berechtigungsverwaltung Hoch CVE-2023-39211

Schweregrad: Hoch

CVSS-Ergebnis: 8.8

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschreibung: Die unsachgemäße Berechtigungsverwaltung in der Zoom-Anwendung für Windows und Zoom Rooms für Windows vor der Version 5.15.5 kann es einem authentifizierten Benutzer ermöglichen, über den lokalen Zugriff Informationen offenzulegen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows vor Version 5.15.5
  • Zoom Rooms für Windows: vor Version 5.15.5

Quelle: Gemeldet von sim0nsecurity

ZSB-23035 08/08/2023 SDK der Zoom-Anwendung für Windows – Unverschlüsselte Speicherung vertraulicher Informationen Mittel CVE-2023-39210

Schweregrad: Mittel

CVSS-Ergebnis: 5.5

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Beschreibung: Die unverschlüsselte Speicherung vertraulicher Informationen im SDK der Zoom-Anwendung für Windows vor Version 5.15.0 kann es einem authentifizierten Benutzer ermöglichen, über den lokalen Zugriff Informationen offenzulegen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • SDK der Zoom-Anwendung: vor Version 5.15.0

Quelle: Gemeldet von sim0nsecurity

ZSB-23034 08/08/2023 Zoom-Anwendungen – Kundenseitige Durchsetzung der serverseitigen Sicherheit Mittel CVE-2023-39218

Schweregrad: Mittel

CVSS-Ergebnis: 6.5

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

Beschreibung: Die kundenseitige Durchsetzung der serverseitigen Sicherheit in den Zoom-Anwendungen vor Version 5.14.10 kann es einem berechtigten Benutzer ermöglichen, über den Netzwerkzugriff die Informationsoffenlegung zu aktivieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.14.10
  • Zoom-Anwendung für macOS: vor Version 5.14.10
  • Zoom-Anwendung für Linux: vor Version 5.14.10
  • Zoom VDI-Host und -Plug-in: vor Version 5.14.10
  • Mobile Zoom-App für Android: vor Version 5.14.10
  • Mobile Zoom-App für iOS: vor Version 5.14.10
  • Zoom Rooms für iPad: vor Version 5.14.10
  • Zoom Rooms für Android: vor Version 5.14.10
  • Zoom Rooms für Windows: vor Version 5.14.10
  • Zoom Rooms für macOS: vor Version 5.14.10

Quelle: Gemeldet vom Zoom Offensive Security Team.

ZSB-23033 08/08/2023 Zoom SDKs – Unsachgemäße Eingabeprüfung Kritisch CVE-2023-39217

Schweregrad: Kritisch

CVSS-Ergebnis: 5.3

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Beschreibung: Die unsachgemäße Eingabeprüfung in Zoom SDKs vor Version 5.14.10 kann es einem nicht authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff einen Denial of Service zu aktivieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • SDK der Zoom-Anwendung für Windows vor Version 5.14.10
  • SDK der Zoom-Anwendung für iOS: vor Version 5.14.10
  • SDK der Zoom-Anwendung für Android: vor Version 5.14.10
  • SDK der Zoom-Anwendung für macOS: vor Version 5.14.10
  • SDK der Zoom-Anwendung für Linux: vor Version 5.14.10

Quelle: Gemeldet vom Zoom Offensive Security Team.

ZSB-23032 08/08/2023 Zoom-Anwendung für Windows – Unsachgemäße Eingabeprüfung Kritisch CVE-2023-39216

Schweregrad: Kritisch

CVSS-Ergebnis: 9.6

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Beschreibung: Die unsachgemäße Eingabevalidierung in der Zoom-Anwendung für Windows vor der Version 5.14.7 kann es einem nicht authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff eine Eskalation der Berechtigungen zu aktivieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.14.7

Quelle: Gemeldet vom Zoom Offensive Security Team.

ZSB-23031 08/08/2023 Zoom-Anwendungen – Kundenseitige Durchsetzung der serverseitigen Sicherheit Kritisch CVE-2023-36535

Schweregrad: Kritisch

CVSS-Ergebnis: 7.1

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L

Beschreibung: Die kundenseitige Durchsetzung der serverseitigen Sicherheit in den Zoom-Anwendungen vor Version 5.14.10 kann es einem authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff die Informationsoffenlegung zu aktivieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendungen für Windows: vor Version 5.14.10
  • Zoom-Anwendung für macOS: vor Version 5.14.10
  • Zoom-Anwendung für Linux: vor Version 5.14.10
  • Zoom VDI-Host und -Plug-in: vor Version 5.14.10
  • Mobile Zoom-App für Android: vor Version 5.14.10
  • Mobile Zoom-App für iOS: vor Version 5.14.10
  • Zoom Rooms für iPad: vor Version 5.14.10
  • Zoom Rooms für Android: vor Version 5.14.10
  • Zoom Rooms für Windows: vor Version 5.14.10
  • Zoom Rooms für macOS: vor Version 5.14.10

Quelle: Gemeldet vom Zoom Offensive Security Team.

ZSB-23030 08/08/2023 Zoom-Anwendung für Windows – Path Traversal Kritisch CVE-2023-36534

Schweregrad: Kritisch

CVSS-Ergebnis: 9.3

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H

Beschreibung: Der Path Traversal in der Zoom-Anwendung für Windows vor der Version 5.14.7 kann es einem nicht authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff eine Eskalation der Berechtigungen zu aktivieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.14.7

Quelle: Gemeldet vom Zoom Offensive Security Team.

ZSB-23029 08/08/2023 Zoom SDKs – Unkontrollierter Ressourcennutzung Kritisch CVE-2023-36533

Schweregrad: Kritisch

CVSS-Ergebnis: 7.1

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H

Beschreibung: Die unkontrollierte Ressourcennutzung in Zoom SDKs vor Version 5.14.7 kann es einem nicht authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff einen Denial of Service zu aktivieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • SDK der Zoom-Anwendung für Windows: vor Version 5.14.7
  • SDK der Zoom-Anwendung für iOS: vor Version 5.14.7
  • SDK der Zoom-Anwendung für Android: vor Version 5.14.7
  • SDK der Zoom-Anwendung für macOS: vor Version 5.14.7
  • SDK der Zoom-Anwendung für Linux: vor Version 5.14.7

Quelle: Gemeldet vom Zoom Offensive Security Team.

ZSB-23028 08/08/2023 Zoom-Anwendungen – Pufferüberlauf Kritisch CVE-2023-36532

Schweregrad: Kritisch

CVSS-Ergebnis: 5.9

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Beschreibung: Der Pufferüberlauf in Zoom-Anwendungen vor Version 5.14.5 kann es einem nicht authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff einen Denial of Service zu aktivieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.14.5
  • Zoom-Anwendung für macOS: vor Version 5.14.5
  • Zoom-Anwendung für Linux: vor Version 5.14.5
  • Zoom VDI-Host und -Plug-in: vor Version 5.14.5
  • Mobile Zoom-App für Android: vor Version 5.14.5
  • Mobile Zoom-App für iOS: vor Version 5.14.5
  • Zoom Rooms für iPad: vor Version 5.14.5
  • Zoom Rooms für Android: vor Version 5.14.5
  • Zoom Rooms für Windows vor Version 5.14.5
  • Zoom Rooms für macOS: vor Version 5.14.5

Quelle: Gemeldet vom Zoom Offensive Security Team.

ZSB-23027 08/08/2023 Zoom-Anwendung für Windows – Unzureichende Verifizierung der Datenechtheit Kritisch CVE-2023-36541

Schweregrad: Kritisch

CVSS-Ergebnis: 8

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Beschreibung: Die unzureichende Verifizierung der Datenechtheit in der Zoom-Anwendung für Windows vor Version 5.14.5 kann es einem nicht authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff eine Eskalation der Berechtigungen zu aktivieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.14.5

Quelle: Gemeldet von sim0nsecurity

ZSB-23026 08/08/2023 Zoom-Anwendung für Windows – Nicht vertrauenswürdiger Suchpfad Kritisch CVE-2023-36540

Schweregrad: Kritisch

CVSS-Ergebnis: 7.3

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Beschreibung: Der nicht vertrauenswürdige Suchpfad im Installationsprogramm der Zoom-Anwendung für Windows vor der Version 5.14.5 kann es einem authentifizierten Benutzer ermöglichen, über den lokalen Zugriff eine Eskalation der Berechtigungen zu aktiveren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.14.5

Quelle: Gemeldet von sim0nsecurity

ZSB-23024 07/11/2023 Unsachgemäße Zugriffssteuerung Kritisch CVE-2023-36538

Schweregrad: Kritisch

CVSS-Ergebnis: 8.4

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Beschreibung: Die unsachgemäße Zugriffssteuerung bei Zoom Rooms für Windows vor der Version 5.15.0 kann es einem authentifizierten Benutzer ermöglichen, über den lokalen Zugriff eine Eskalation der Berechtigungen zu aktiveren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Rooms für Windows: vor Version 5.15.0

Quelle: Gemeldet von sim0nsecurity

ZSB-23023 07/11/2023 Unsachgemäße Berechtigungsverwaltung Kritisch CVE-2023-36537

Schweregrad: Kritisch

CVSS-Ergebnis: 7.3

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Beschreibung: Die unsachgemäße Berechtigungsverwaltung bei Zoom Rooms für Windows vor der Version 5.14.5 kann es einem authentifizierten Benutzer ermöglichen, über den lokalen Zugriff eine Eskalation der Berechtigungen zu aktiveren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Rooms für Windows vor Version 5.14.5

Quelle: Gemeldet von sim0nsecurity

ZSB-23022 07/11/2023 Nicht vertrauenswürdiger Suchpfad Kritisch CVE-2023-36536

Schweregrad: Kritisch

CVSS-Ergebnis: 8.2

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Beschreibung: Der nicht vertrauenswürdige Suchpfad im Installationsprogramm von Zoom Rooms für Windows vor der Version 5.15.0 kann es einem authentifizierten Benutzer ermöglichen, über den lokalen Zugriff eine Eskalation der Berechtigungen zu aktiveren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Rooms für Windows: vor Version 5.15.0

Quelle: Gemeldet von sim0nsecurity

ZSB-23021 07/11/2023 Nicht sichere temporäre Datei Kritisch CVE-2023-34119

Schweregrad: Kritisch

CVSS-Ergebnis: 8.2

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Beschreibung: Die nicht sichere temporäre Datei im Installationsprogramm von Zoom Rooms für Windows vor der Version 5.15.0 kann es einem authentifizierten Benutzer ermöglichen, über den lokalen Zugriff eine Eskalation der Berechtigungen zu aktiveren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Rooms für Windows: vor Version 5.15.0

Quelle: Gemeldet von sim0nsecurity

ZSB-23020 07/11/2023 Unsachgemäße Berechtigungsverwaltung Kritisch CVE-2023-34118

Schweregrad: Kritisch

CVSS-Ergebnis: 7.3

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Beschreibung: Die unsachgemäße Berechtigungsverwaltung bei Zoom Rooms für Windows vor der Version 5.14.5 kann es einem authentifizierten Benutzer ermöglichen, über den lokalen Zugriff eine Eskalation der Berechtigungen zu aktiveren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Rooms für Windows vor Version 5.14.5

Quelle: Gemeldet von sim0nsecurity

ZSB-23019 07/11/2023 Relativer Path Traversal Kritisch CVE-2023-34117

Schweregrad: Kritisch

CVSS-Ergebnis: 3.3

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

Beschreibung: Der relative Path Traversal im SDK der Zoom-Anwendung vor der Version 5.15.0 kann es einem nicht autorisierten Benutzer ermöglichen, die Offenlegung von Informationen über den lokalen Zugriff zu aktivieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • SDK der Zoom-Anwendung: vor Version 5.15.0

Quelle: Gemeldet von Dimitrios Valsamaras von Microsoft

ZSB-23018 07/11/2023 Unsachgemäße Eingabeprüfung Kritisch CVE-2023-34116

Schweregrad: Kritisch

CVSS-Ergebnis: 8.2

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:H

Beschreibung: Die unsachgemäße Eingabevalidierung in der Zoom-Anwendung für Windows vor der Version 5.15.0 kann es einem authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff eine Eskalation der Berechtigungen zu aktivieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.15.0

Quelle: Gemeldet von sim0nsecurity

ZSB-23025 06/29/2023 Offenlegung vertraulicher Informationen Kritisch CVE-2023-36539

Schweregrad: Kritisch

CVSS-Ergebnis: 5.3

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

Beschreibung: In einigen Zoom-Anwendungen kann die Weitergabe von Informationen, die eigentlich verschlüsselt sein sollten, zur Offenlegung vertraulicher Daten führen.

Zoom verschlüsselt Nachrichten im Meeting-Chat per Meeting-Schlüssel und überträgt diese verschlüsselten Nachrichten per TLS-Verschlüsselung zwischen den Geräten von Benutzern und Zoom. Bei den betroffenen Produkten wurde eine Kopie der einzelnen Nachrichten aus dem Meeting-Chat zudem nur mit TLS-Verschlüsselung, aber ohne Verschlüsselung per Meeting-Schlüssel gesendet, darunter auch Nachrichten aus Meetings mit End-to-End-Verschlüsselung (E2EE).

Benutzer können sich schützen, indem sie die aktuellen Updates installieren oder die aktuelle Version der Zoom-Software mit sämtlichen aktuellen Sicherheitsupdates unter https://zoom.us/downloads herunterladen und den Meeting-Chat unter den betroffenen Versionen möglichst nicht verwenden.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: Versionen 5.15.0 und 5.15.1
  • Zoom-Anwendung für macOS: nur Version 5.15.0
  • Zoom-Anwendung für Linux: nur Version 5.15.0
  • Mobile Zoom-App für iOS: nur Version 5.15.0
  • Mobile Zoom-App für Android: nur Version 5.15.0
  • Zoom Rooms für Windows: nur Version 5.15.0
  • Zoom Rooms für macOS: nur Version 5.15.0
  • Zoom Rooms für iPad: nur Version 5.15.0
  • Zoom Phone Appliance: nur Version 5.15.0
  • Zoom Meeting SDK für Android: nur Version 5.15.0
  • Zoom Meeting SDK für iOS: nur Version 5.15.0
  • Zoom Meeting SDK für macOS: nur Version 5.15.0
  • Zoom Meeting SDK für Windows: nur Version 5.15.1
  • Zoom Video SDK für Windows: nur Version 1.8.0
  • Zoom Video SDK für macOS: nur Version 1.8.0
  • Zoom Video SDK für Android: nur Version 1.8.0
  • Zoom Video SDK für iOS: nur Version 1.8.0
  • Zoom Video SDK für Linux: nur Version 1.8.0

Quelle: Gemeldet vom Zoom Offensive Security Team.

ZSB-23017 06/13/2023 Kopie puffern, ohne Eingabegröße zu prüfen Kritisch CVE-2023-34115

Schweregrad: Kritisch

CVSS-Ergebnis: 4.0

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Beschreibung: Die Schwachstelle „Kopie puffern, ohne Eingabegröße zu prüfen“ im Zoom Meeting SDK vor Version 5.13.0 kann einem authentifizierten Benutzer ermöglichen, über den lokalen Zugriff potenziell einen Denial of Service-Angriff zu aktivieren. Aufgrund dieses Problems kann das Zoom Meeting SDK abstürzen, und es muss anschließend neu gestartet werden.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Meeting SDK vor Version 5.13.0.

Quelle: Gemeldet von Eugene Lim

ZSB-23016 06/13/2023 Ressourcen im falschen Bereich offengelegt Kritisch CVE-2023-34114

Schweregrad: Kritisch

CVSS-Ergebnis: 4.3

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N

Beschreibung: Die Schwachstelle „Ressource im falschen Bereich offengelegt“ in Zoom for Windows- und Zoom for macOS-Anwendungen vor Version 5.14.10 kann einem authentifizierten Benutzer ermöglichen, potenziell die Offenlegung von Informationen über den Netzwerkzugriff zu aktivieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom for Windows vor Version 5.14.10
  • Zoom for macOS vor Version 5.14.10

Quelle: Gemeldet von Siddhi Katariya (chikorita)

ZSB-23015 06/13/2023 Unzureichende Verifizierung der Datenechtheit Kritisch CVE-2023-34113

Schweregrad: Kritisch

CVSS-Ergebnis: 8

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Beschreibung: Die Schwachstelle „Unzureichende Verifizierung der Datenechtheit“ bei Zoom for Windows-Anwendungen vor Version 5.14.0 kann einem authentifizierten Benutzer potenziell eine Erhöhung von Berechtigungen über den Netzwerkzugriff ermöglichen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom for Windows-Anwendungen vor Version 5.14.0

Quelle: Gemeldet von sim0nsecurity

ZSB-23014 06/13/2023 Unsachgemäße Eingabeprüfung Kritisch CVE-2023-34122

Schweregrad: Kritisch

CVSS-Ergebnis: 7.3

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Beschreibung: Die Schwachstelle „Unsachgemäße Eingabeprüfung“ im Installationsprogramm für Zoom for Windows-Anwendungen vor Version 5.14.0 kann einem authentifizierten Benutzer potenziell eine Erhöhung von Berechtigungen über den lokalen Zugriff ermöglichen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom for Windows-Anwendungen vor Version 5.14.0

Quelle: Gemeldet von sim0nsecurity

ZSB-23013 06/13/2023 Unsachgemäße Eingabeprüfung Kritisch CVE-2023-34121

Schweregrad: Kritisch

CVSS-Ergebnis: 4.9

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N

Beschreibung: Die Schwachstelle „Unsachgemäße Eingabeprüfung“ bei Zoom for Windows-, Zoom Rooms-, Zoom VDI Windows Meeting-Anwendungen vor Version 5.14.0 kann einem authentifizierten Benutzer potenziell eine Erhöhung der Berechtigungen über den Netzwerkzugriff ermöglichen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom for Windows-Anwendungen vor Version 5.14.0
  • Zoom Rooms-Geräte für Windows vor Version 5.14.0
  • Zoom VDI Windows Meeting-Anwendungen vor Version 5.14.0

Quelle: Gemeldet von Mohit Rawat – ASPIA InfoTech

ZSB-23012 06/13/2023 Unsachgemäße Berechtigungsverwaltung Kritisch CVE-2023-34120

Schweregrad: Kritisch

CVSS-Ergebnis: 8.7

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L

Beschreibung: Die Schwachstelle „Unsachgemäße Berechtigungsverwaltung“ bei Zoom for Windows-, Zoom Rooms for Windows- und Zoom VDI for Windows-Anwendungen vor Version 5.14.0 kann einem authentifizierten Benutzer potenziell eine Erhöhung der Berechtigungen über den lokalen Zugriff ermöglichen. Benutzer können potenziell höhere Systemberechtigungsstufen der Zoom-Anwendung nutzen, um Prozesse mit höheren Berechtigungen auszulösen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom for Windows-Anwendungen vor Version 5.14.0
  • Zoom Rooms-Geräte für Windows vor Version 5.14.0
  • Zoom VDI Windows Meeting-Anwendungen vor Version 5.14.0

Quelle: Gemeldet von sim0nsecurity

ZSB-23011 06/13/2023 Unsachgemäße Zugriffssteuerung im Installationsprogramm für die Zoom VDI-Anwendung Kritisch CVE-2023-28603

Schweregrad: Kritisch

CVSS-Ergebnis: 7.7

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:L

Beschreibung: Das Installationsprogramm für die Zoom VDI-Anwendung vor Version 5.14.0 enthält eine Schwachstelle in Form einer unsachgemäßen Zugriffssteuerung. Ein Benutzer mit böser Absicht kann dadurch potenziell lokal gespeicherte Dateien ohne die erforderlichen Berechtigungen löschen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom VDI Windows Meeting-Installationsprogramm vor Version 5.14.0

Quelle: Gemeldet von sim0nsecurity

ZSB-23010 06/13/2023 Unsachgemäße Verifizierung der verschlüsselten Signatur in der Zoom-Anwendung Kritisch CVE-2023-28602

Schweregrad: Kritisch

CVSS-Ergebnis: 2.8

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N

Beschreibung: Die Zoom for Windows-Anwendungen vor Version 5.13.5 enthalten eine Schwachstelle in Form einer unsachgemäßen Verifizierung der verschlüsselten Signatur. Ein Benutzer mit böser Absicht kann dadurch Komponenten der Zoom-Anwendung potenziell auf vorherige Versionen zurückstufen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom for Windows-Anwendungen vor Version 5.13.5

Quelle: Gemeldet von Kirin (Pwrin)

ZSB-23009 06/13/2023 Unsachgemäße Beschränkung von Vorgängen innerhalb der Grenzen eines Speicherpuffers bei Zoom-Anwendungen Kritisch CVE-2023-28601

Schweregrad: Kritisch

CVSS-Ergebnis: 2

CVSS-Vektorstring: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

Beschreibung: Zoom for Windows-Anwendungen vor Version 5.14.0 enthalten eine Schwachstelle in Form einer unsachgemäßen Beschränkung von Vorgängen innerhalb der Grenzen eines Speicherpuffers. Ein Benutzer mit böser Absicht kann dadurch geschützte Speicherpuffer der Zoom-Anwendung so ändern, dass innerhalb der Anwendung potenziell Integritätsprobleme auftreten.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom for Windows-Anwendungen vor Version 5.14.0

Quelle: Gemeldet von sim0nsecurity

ZSB-23008 06/13/2023 Unsachgemäße Zugriffssteuerung bei Zoom-Anwendungen Kritisch CVE-2023-28600

Schweregrad: Kritisch

CVSS-Ergebnis: 6.6

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:L

Beschreibung: Zoom for macOS-Anwendungen vor Version 5.14.0 enthalten eine Schwachstelle in Form einer unsachgemäßen Zugriffssteuerung. Ein Benutzer mit böser Absicht kann dadurch Dateien der Zoom-Anwendung löschen/ersetzen und damit potenziell die Integrität und Verfügbarkeit der Zoom-Anwendung beeinträchtigen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom for macOS-Anwendungen vor Version 5.14.0

Quelle: Gemeldet von Koh M. Nakagawa (@tsunek0h)

ZSB-23007 06/13/2023 HTML-Injektionsschwachstelle in Zoom-Anwendungen Kritisch CVE-2023-28599

Schweregrad: Kritisch

CVSS-Ergebnis: 4.2

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

Beschreibung: Zoom-Anwendungen vor Version 5.13.10 enthalten eine Schwachstelle bei der HTML-Injektion. Ein Benutzer mit böser Absicht kann dadurch HTML in seinen Anzeigenamen injizieren und ein Angriffsziel bei der Meetingerstellung potenziell auf eine böswillige Website umleiten.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom for Android-, iOS-, Linux-, macOS- und Windows-Anwendungen vor Version 5.13.10

Quelle: Gemeldet von Mohit Rawat – ASPIA InfoTech

ZSB-23006 06/13/2023 HTML-Injektion in Zoom for Linux-Anwendungen Kritisch CVE-2023-28598

Schweregrad: Kritisch

CVSS-Ergebnis: 7.5

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Beschreibung: Zoom for Linux-Anwendungen vor Version 5.13.10 enthalten eine Schwachstelle bei der HTML-Injektion. Wenn ein Angriffsziel einen Chat mit einem böswilligen Benutzer beginnt, kann dies einen Absturz der Zoom-Anwendung verursachen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom for Linux-Clients vor Version 5.13.10

Quelle: Gemeldet von Antoine Roly (aroly)

ZSB-23005 03/14/2023 Unsachgemäße Trust Boundary-Implementierung für KMU in Zoom-Anwendungen [Updated 2023-04-07] Kritisch CVE-2023-28597

Schweregrad: Kritisch

CVSS-Ergebnis: 8.3

CVSS-Vektorstring: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

Beschreibung: Zoom-Anwendungen vor Version 5.13.5 haben eine Sicherheitslücke in Bezug auf die unsachgemäße Trust Boundary-Implementierung. Wenn ein Angriffsopfer eine lokale Aufzeichnung an einem KMU-Standort speichert und später über einen Link vom Zoom Web Portal öffnet, kann ein Angreifer in einem an die Anwendung des Betroffenen angrenzenden Netzwerk einen böswilligen KMU-Server zum Antworten auf Anwendungsanfragen einrichten. Die Anwendung führt dann vom Angreifer kontrollierte Executables aus. Dies kann dazu führen, dass ein Angreifer Zugriff auf das Gerät und die Daten eines Benutzers erhält und dass Code aus der Ferne ausgeführt wird.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

*Änderungen – 07.04.2023 – Android und iOS aus dem Abschnitt „Betroffene Produkte“ entfernt

Betroffene Produkte:

  • Zoom (for Android, macOS und Windows)-Anwendungen vor Version 5.13.5
  • Zoom Rooms (for Linux, macOS und Windows)-Anwendungen vor Version 5.13.5
  • Zoom VDI Windows Meeting-Anwendungen vor Version 5.13.10

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-23004 03/14/2023 Eskalation lokaler Berechtigungen in Zoom for macOS-Installationsprogrammen Kritisch CVE-2023-28596

Schweregrad: Kritisch

CVSS-Ergebnis: 5.2

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L

Beschreibung: macOS-Installationsprogramme der Zoom-Anwendung für IT-Admins vor Version 5.13.5 haben eine Sicherheitslücke in Bezug auf die Eskalation lokaler Berechtigungen. Ein lokaler Benutzer mit wenigen Berechtigungen kann diese Sicherheitslücke in einer Angriffskette während des Installationsvorgangs ausnutzen, um seine Berechtigungen bis auf die Root-Ebene zu eskalieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • macOS-Installationsprogramme für Zoom Client for Meetings for IT Admin vor Version 5.13.5

Quelle: Gemeldet von Koh M. Nakagawa (tsunekoh)

ZSB-23003 03/14/2023 Eskalation lokaler Berechtigungen in Zoom for Windows-Installationsprogrammen Kritisch CVE-2023-22883

Schweregrad: Kritisch

CVSS-Ergebnis: 7.2

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:N/I:H/A:H

Beschreibung: Windows-Installationsprogramme der Zoom-Anwendung für IT-Admins vor Version 5.13.5 haben eine Schwachstelle in Bezug auf die Eskalation lokaler Berechtigungen. Ein lokaler Benutzer mit wenigen Berechtigungen kann diese Sicherheitslücke in einer Angriffskette während des Installationsvorgangs ausnutzen, um seine Berechtigungen bis zur Ebene SYSTEM-Benutzer zu eskalieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Windows-Installationsprogramme für Zoom Client for Meetings for IT Admin vor Version 5.13.5

Quelle: Gemeldet von sim0nsecurity

ZSB-23002 03/14/2023 Denial of Service in Zoom-Anwendungen Kritisch CVE-2023-22881
CVE-2023-22882

Schweregrad: Kritisch

CVSS-Ergebnis: 6.5

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Beschreibung: Zoom-Anwendungen vor Version 5.13.5 haben eine Schwachstelle in Bezug auf STUN-Parsing. Ein böswilliger Akteur kann speziell entwickelten UDP-Traffic an eine Zoom-Anwendung senden, um aus der Ferne den Ausfall der Anwendung zu verursachen (also einen Denial of Service).

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom (for Android, iOS, Linux, macOS und Windows)-Anwendungen vor Version 5.13.5

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-23001 03/14/2023 Informationsoffenlegung in Zoom for Windows-Anwendungen Kritisch CVE-2023-22880

Schweregrad: Kritisch

CVSS-Ergebnis: 6.8

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N

Beschreibung: Zoom for Windows-Anwendungen vor Version 5.13.3, Zoom Rooms for Windows-Anwendungen vor Version 5.13.5 und Zoom VDI for Windows-Anwendungen vor 5.13.1 haben eine Schwachstelle in Bezug auf die Informationsoffenlegung. Ein kürzliches Update an Microsoft Edge WebView2 Runtime, das von den betroffenen Zoom-Anwendungen verwendet wird, hat Text in die Online-Rechtschreibprüfung statt die lokale Windows-Rechtschreibprüfung übertragen. Ein Update von Zoom behebt diese Sicherheitslücke durch Deaktivierung der Funktion. Das Update von Microsoft Edge WebView2 Runtime auf mindestens Version 109.0.1481.0 und der Neustart von Zoom behebt diese Sicherheitslücke durch Aktualisieren des Telemetrieverhaltens von Microsoft.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom for Windows-Anwendungen vor Version 5.13.3
  • Zoom Rooms for Windows-Anwendungen vor Version 5.13.3
  • Zoom VDI for Windows-Anwendungen vor Version 5.13.1

Quelle: Gemeldet vom Zoom Security Team

ZSB-22035 01/06/2023 Eskalation lokaler Berechtigungen in Zoom Rooms for Windows-Installationsprogrammen Kritisch CVE-2022-36930

Schweregrad: Kritisch

CVSS-Ergebnis: 8.2

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Beschreibung: Zoom Rooms for Windows-Installationsprogramme vor Version 5.13.0 haben eine Sicherheitslücke in Bezug auf die Eskalation lokaler Berechtigungen. Ein lokaler Benutzer mit wenigen Berechtigungen kann diese Sicherheitslücke in einer Angriffskette ausnutzen, um seine Berechtigungen bis zur Ebene SYSTEM-Benutzer zu eskalieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Rooms for Windows-Installationsprogramme vor Version 5.13.0

Quelle: Gemeldet von sim0nsecurity

ZSB-22034 01/06/2023 Eskalation lokaler Berechtigungen in Zoom Rooms for Windows-Anwendungen Kritisch CVE-2022-36929

Schweregrad: Kritisch

CVSS-Ergebnis: 7.8

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschreibung: Zoom Rooms for Windows-Anwendungen vor Version 5.12.7 haben eine Sicherheitslücke in Bezug auf die Eskalation lokaler Berechtigungen. Ein lokaler Benutzer mit wenigen Berechtigungen kann diese Sicherheitslücke in einer Angriffskette ausnutzen, um seine Berechtigungen bis zur Ebene SYSTEM-Benutzer zu eskalieren.
Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Rooms for Windows-Anwendungen vor Version 5.12.7

Quelle: Gemeldet von sim0nsecurity

ZSB-22033 01/06/2023 Path Traversal in Zoom for Android-Anwendungen Kritisch CVE-2022-36928

Schweregrad: Kritisch

CVSS-Ergebnis: 6.1

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N

Beschreibung: Zoom for Android-Anwendungen vor Version 5.13.0 haben eine Sicherheitslücke in Bezug auf Path Traversal. Eine Drittanbieter-App kann diese Sicherheitslücke ausnutzen, um Lese- und Schreibvorgänge im Zoom-Anwendungsdatenverzeichnis durchzuführen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom for Android-Anwendungen vor Version 5.13.0

Quelle: Gemeldet von Dimitrios Valsamaras von Microsoft

ZSB-22032 01/06/2023 Eskalation lokaler Berechtigungen in Zoom Rooms for macOS-Anwendungen Kritisch CVE-2022-36926
CVE-2022-36927

Schweregrad: Kritisch

CVSS-Ergebnis: 8.8

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschreibung: Zoom Rooms for macOS-Anwendungen vor Version 5.11.3 haben eine Sicherheitslücke in Bezug auf die Eskalation lokaler Berechtigungen. Ein lokaler Benutzer mit geringen Berechtigungen kann diese Sicherheitsanfälligkeit ausnutzen, um seine Berechtigungen bis auf die Root-Ebene zu eskalieren.
Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Rooms for macOS-Anwendungen vor Version 5.11.3

Quelle: Gemeldet von Kirin (Pwrin)

ZSB-22031 01/06/2023 Nicht sichere Schlüsselgenerierung für Zoom Rooms for macOS-Anwendungen Kritisch CVE-2022-36925

Schweregrad: Kritisch

CVSS-Ergebnis: 4.4

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

Beschreibung: Zoom Rooms for macOS-Anwendungen vor Version 5.11.4 haben einen nicht sicheren Mechanismus zur Schlüsselgenerierung. Der Verschlüsselungsschlüssel für IPC zwischen dem Daemon-Service von Zoom Rooms und dem Zoom Rooms-Gerät wurde mit Parametern generiert, die von einer lokalen Anwendung mit wenigen Berechtigungen abgerufen werden konnten. Dieser Schlüssel kann dann zum Interagieren mit dem Daemon-Service verwendet werden, um privilegierte Funktionen auszuführen und einen lokalen Denial of Service zu verursachen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Rooms for macOS vor Version 5.11.4

Quelle: Gemeldet von Kirin (Pwrin)

ZSB-22030 11/15/2022 Eskalation lokaler Berechtigungen im Zoom Rooms-Installationsprogramm für Windows Kritisch CVE-2022-36924

Schweregrad: Kritisch

CVSS-Ergebnis: 8.8

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschreibung: Das Zoom Rooms-Installationsprogramm für Windows vor Version 5.12.6 enthält eine Schwachstelle im Zusammenhang mit der lokalen Rechteeskalation. Ein lokaler Benutzer mit geringen Berechtigungen kann diese Schwachstelle während des Installationsvorgangs ausnutzen, um seine Berechtigungen bis zur Ebene SYSTEM-Benutzer zu eskalieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Rooms-Installationsprogramm für Windows vor Version 5.12.6

Quelle: Gemeldet von sim0nsecurity

ZSB-22029 11/15/2022 Eskalation lokaler Berechtigungen im Zoom Client-Installationsprogramm für macOS Kritisch CVE-2022-28768

Schweregrad: Kritisch

CVSS-Ergebnis: 8.8

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschreibung: Das Zoom Client for Meetings-Installationsprogramm für macOS (Standard und für IT-Administratoren) vor Version 5.12.6 enthält eine Schwachstelle im Zusammenhang mit lokaler Rechteeskalation. Ein lokaler Benutzer mit geringen Berechtigungen kann diese Schwachstelle während des Installationsvorgangs ausnutzen, um seine Berechtigungen bis auf die Root-Ebene zu eskalieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings-Installationsprogramm für macOS (Standard und für IT-Administratoren) vor Version 5.12.6

Quelle: Gemeldet von Koh M. Nakagawa (tsunekoh)

ZSB-22027 11/15/2022 DLL-Injektion in Zoom Windows-Clients Kritisch CVE-2022-28766

Schweregrad: Kritisch

CVSS-Ergebnis: 8.1

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L

Beschreibung: Windows-32-Bit-Versionen des Zoom Client for Meetings vor Version 5.12.6 und Zoom Rooms for Conference Room vor Version 5.12.6 sind für eine DLL-Injektionsschwachstelle anfällig. Ein lokaler Benutzer mit geringen Berechtigungen kann diese Schwachstelle ausnutzen, um beliebigen Code im Kontext der Zoom-Anwendung auszuführen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings für Windows (32 Bit) vor Version 5.12.6
  • Zoom VDI Windows Meeting-Anwendung für Windows (32 Bit) vor 5.12.6
  • Zoom Rooms for Conference Room für Windows (32 Bit) vor Version 5.12.6

Quelle: Gemeldet von sim0nsecurity

ZSB-22025 11/10/2022 Lokale Informationsoffenlegung in Zoom-Anwendungen Kritisch CVE-2022-28764

Schweregrad: Kritisch

CVSS-Ergebnis: 3.3

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Beschreibung: Der Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.12.6 ist anfällig für eine Schwachstelle, bei der lokale Informationen offengelegt werden.

Wenn Daten aus einer lokalen SQL-Datenbank nach Beendigung eines Meetings nicht gelöscht werden und zur Verschlüsselung dieser Datenbank ein nicht ausreichend sicherer gerätespezifischer Schlüssel verwendet wird, kann ein lokaler böswilliger Benutzer über dieses lokale Benutzerkonto Meeting-Informationen wie z. B. den Meeting-Chat für das zuvor besuchte Meeting abrufen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.12.6
  • Zoom VDI Windows Meeting-Client vor Version 5.12.6
  • Zoom Rooms für Konferenzräume (für Android, iOS, Linux, macOS und Windows) vor Version 5.12.6

Quelle: Gemeldet von Christian Zäske, SySS GmbH

ZSB-22024 10/24/2022 Unsachgemäßes URL-Parsing in Zoom Clients Kritisch CVE-2022-28763

Schweregrad: Kritisch

CVSS-Ergebnis: 8.8

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Beschreibung: Der Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.12.2 ist anfällig für eine URL-Parsing-Schwachstelle. Wenn eine schädliche Zoom-Meeting-URL geöffnet wird, kann der bösartige Link den Benutzer dazu verleiten, eine Verbindung zu einer beliebigen Netzwerkadresse herzustellen, was zu zusätzlichen Angriffen führt, einschließlich Sitzungsübernahmen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.12.2
  • Zoom VDI Windows Meeting-Clients vor Version 5.12.2
  • Zoom Rooms für Konferenzräume (für Android, iOS, Linux, macOS und Windows) vor Version 5.12.2

Quelle: Gemeldet vom Zoom Security Team

ZSB-22023 10/11/2022 Fehlkonfiguration des Debugports in Zoom Apps im Zoom Client for Meetings für macOS Kritisch CVE-2022-28762

Schweregrad: Kritisch

CVSS-Ergebnis: 7.3

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

Beschreibung: Zoom Client for Meetings für macOS (Standard und für IT-Administratoren) ab Version 5.10.6 und vor Version 5.12.0 enthält eine falsche Konfiguration des Debugging-Ports. Wenn der Kameramodus-Renderkontext als Teil der Zoom App Layers-API aktiviert ist, wird durch das Ausführen bestimmter Zoom Apps ein lokaler Debugport vom Zoom-Client geöffnet. Ein lokaler böswilliger Benutzer könnte diesen Debugport verwenden, um eine Verbindung zu den Zoom Apps, die im Zoom-Client ausgeführt werden, herzustellen und diese zu steuern.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings für macOS (Standard und für IT-Administratoren) ab Version 5.10.6 und vor Version 5.12.0

Quelle: Gemeldet vom Zoom Security Team

ZSB-22022 10/11/2022 Lokale Zoom-Bereitstellungen: Unsachgemäße Zugriffssteuerung Kritisch CVE-2022-28761

Schweregrad: Kritisch

CVSS-Ergebnis: 6.5

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Beschreibung: Der lokale Zoom Meeting-Connector MMR vor Version 4.8.20220916.131 enthält eine Schwachstelle bezüglich ungeeigneter Zugriffssteuerung. Daher kann ein böswilliger Akteur in einem Meeting oder einem Webinar, an dem er teilnehmen darf, verhindern, dass Teilnehmer Audio und Video empfangen, was zu Meeting-Unterbrechungen führt.

Für lokale Zoom-Bereitstellungen können IT-Administratoren dazu beitragen, ihre Zoom-Software auf dem neuesten Stand zu halten, indem sie die hier beschriebenen Maßnahmen befolgen: https://support.zoom.us/hc/en-us/articles/360043960031

Betroffene Produkte:

  • Lokaler Zoom Meeting-Connector MMR vor Version 4.8.20220916.131

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-22021 09/13/2022 Lokale Zoom-Bereitstellungen: Unsachgemäße Zugriffssteuerung Kritisch CVE-2022-28760

Schweregrad: Kritisch

CVSS-Ergebnis: 6.5

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Beschreibung: Der lokale Zoom Meeting-Connector MMR vor Version 4.8.20220815.130 enthält eine Schwachstelle bezüglich falscher Zugriffssteuerung. Infolgedessen kann ein böswilliger Akteur an einem Meeting teilnehmen, ohne für die anderen Teilnehmer sichtbar zu sein.

Für lokale Zoom-Bereitstellungen können IT-Administratoren dazu beitragen, ihre Zoom-Software auf dem neuesten Stand zu halten, indem sie die hier beschriebenen Maßnahmen befolgen: https://support.zoom.us/hc/en-us/articles/360043960031

Betroffene Produkte:

  • Lokaler Zoom Meeting-Connector-MMR vor Version 4.8.20220815.130

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-22020 09/13/2022 Lokale Zoom-Bereitstellungen: Unsachgemäße Zugriffssteuerung Kritisch CVE-2022-28758
CVE-2022-28759

Schweregrad: Kritisch

CVSS-Ergebnis: 8.2

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Beschreibung: Der lokale Zoom Meeting-Connector MMR vor Version 4.8.20220815.130 enthält eine Schwachstelle bezüglich falscher Zugriffssteuerung. Infolgedessen könnte ein böswilliger Akteur unberechtigten Zugriff auf die Audio- und Videospur eines Meetings erlangen und Meetings anderweitig stören.

Für lokale Zoom-Bereitstellungen können IT-Administratoren dazu beitragen, ihre Zoom-Software auf dem neuesten Stand zu halten, indem sie die hier beschriebenen Maßnahmen befolgen: https://support.zoom.us/hc/en-us/articles/360043960031

Betroffene Produkte:

  • Lokaler Zoom Meeting-Connector-MMR vor Version 4.8.20220815.130

Quelle: Gemeldet vom Zoom Security Team

ZSB-22019 08/17/2022 Eskalation lokaler Berechtigungen in Auto Updater für Zoom Client for Meetings für macOS Kritisch CVE-2022-28757

Schweregrad: Kritisch

CVSS-Ergebnis: 8.8

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschreibung: Der Zoom Client for Meetings für macOS (Standard und für IT-Administratoren) ab Version 5.7.3 und vor 5.11.6 enthält eine Schwachstelle im automatischen Update-Prozess. Ein lokaler Benutzer mit geringen Berechtigungen kann diese Sicherheitsanfälligkeit ausnutzen, um seine Berechtigungen bis auf die Root-Ebene zu eskalieren.

Hinweis: Dieses Problem ermöglicht eine Umgehung des in 5.11.5 veröffentlichten Patches, um CVE-2022-28756 zu beheben.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings für macOS (Standard und für IT-Administratoren) ab Version 5.7.3 und vor Version 5.11.6

Quelle: Berichtet von Csaba Fitzl (theevilbit) von Offensive Security

ZSB-22018 08/13/2022 Eskalation lokaler Berechtigungen in Auto Updater für Zoom-Produkte unter macOS [Updated 2022-09-13] Kritisch CVE-2022-28756

Schweregrad: Kritisch

CVSS-Ergebnis: 8.8

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschreibung: Der Zoom Client for Meetings für macOS (Standard und für IT-Administratoren) ab Version 5.7.3 und vor 5.11.5 sowie Zoom Rooms for Conference Room für macOS vor Version 5.11.6 enthalten eine Schwachstelle im automatischen Update-Prozess. Ein lokaler Benutzer mit geringen Berechtigungen kann diese Sicherheitsanfälligkeit ausnutzen, um seine Berechtigungen bis auf die Root-Ebene zu eskalieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

*Änderungen – 13.09.2022 – Titel und Beschreibung aktualisiert und Zoom Rooms zum Abschnitt „Betroffene Produkte“ hinzugefügt.

Betroffene Produkte:

  • Zoom Client for Meetings für macOS (Standard und für IT-Administratoren) ab Version 5.7.3 und vor Version 5.11.5
  • Zoom Rooms für Konferenzräume für macOS vor Version 5.11.6

Quelle: Gemeldet von Patrick Wardle von Objective-See

ZSB-22017 08/09/2022 Eskalation lokaler Berechtigungen im Zoom Client for Meetings für macOS Kritisch CVE-2022-28751

Schweregrad: Kritisch

CVSS-Ergebnis: 8.8

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschreibung: Der Zoom Client for Meetings für macOS (Standard und für IT-Administratoren) vor Version 5.11.3 enthält eine Schwachstelle in der Paketsignaturvalidierung während des Update-Prozesses. Ein lokaler Benutzer mit geringen Berechtigungen kann diese Sicherheitsanfälligkeit ausnutzen, um seine Berechtigungen bis auf die Root-Ebene zu eskalieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client für Meetings für macOS (Standard und für IT-Administratoren) vor Version 5.11.3

Quelle: Gemeldet von Patrick Wardle von Objective-See

ZSB-22014 08/09/2022 Lokale Zoom-Bereitstellungen: Unsachgemäße Zugriffssteuerung Kritisch CVE-2022-28753
CVE-2022-28754

Schweregrad: Kritisch

CVSS-Ergebnis: 7.1

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N

Beschreibung: Der lokale Zoom Meeting-Connector MMR vor Version 4.8.129.20220714 enthält eine Schwachstelle bezüglich falscher Zugriffssteuerung. Infolgedessen kann ein böswilliger Akteur an einem Meeting teilnehmen, ohne für die anderen Teilnehmer sichtbar zu sein, er kann sich aus dem Warteraum in das Meeting einlassen und Host werden sowie Meetings anderweitig stören.

Für lokale Zoom-Bereitstellungen können IT-Administratoren dazu beitragen, ihre Zoom-Software auf dem neuesten Stand zu halten, indem sie die hier beschriebenen Maßnahmen befolgen: https://support.zoom.us/hc/en-us/articles/360043960031

Betroffene Produkte:

  • Lokaler Zoom Meeting-Connector-MMR vor Version 4.8.129.20220714

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-22016 08/09/2022 Unsachgemäßes URL-Parsing in Zoom Clients [Updated 2022-10-24] Kritisch CVE-2022-28755

Schweregrad: Kritisch

CVSS-Ergebnis: 9.6

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Beschreibung: Der Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.11.0 ist anfällig für eine URL-Parsing-Schwachstelle. Wenn eine schädliche Zoom-Meeting-URL geöffnet wird, kann der bösartige Link den Benutzer dazu verleiten, eine Verbindung zu einer beliebigen Netzwerkadresse herzustellen, was zu zusätzlichen Angriffen führt, einschließlich des Potenzials für die Remote-Code-Ausführung durch das Starten von ausführbaren Dateien aus beliebigen Pfaden.

*Änderungen – 24.10.2022 – Zoom Rooms zum Abschnitt „Betroffene Produkte“ hinzugefügt.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.11.0

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-22012 08/09/2022 Lokale Zoom-Bereitstellungen: Stapelpufferüberlauf in Meeting-Connector Kritisch CVE-2022-28750

Schweregrad: Kritisch

CVSS-Ergebnis: 7.5

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Beschreibung: Der lokale Zoom Meeting-Connector Zone Controller (ZC) vor Version 4.8.20220419.112 analysiert STUN-Fehlercodes nicht ordnungsgemäß, was zu Speicherbeschädigungen führen und es einem böswilligen Akteur ermöglichen kann, die Anwendung zum Absturz zu bringen. In Versionen, die älter als 4.8.12.20211115 sind, kann diese Sicherheitsanfälligkeit auch ausgenutzt werden, um beliebigen Code auszuführen.

Für lokale Zoom-Bereitstellungen können IT-Administratoren dazu beitragen, ihre Zoom-Software auf dem neuesten Stand zu halten, indem sie die hier beschriebenen Maßnahmen befolgen:
https://support.zoom.us/hc/en-us/articles/360043960031

Betroffene Produkte:

  • Lokaler Zoom Meeting-Connector Zone Controller (ZC) vor Version 4.8.20220419.112

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-22011 06/14/2022 Unzureichende Autorisierungsprüfung bei Meeting-Beitritt Kritisch CVE-2022-28749

Schweregrad: Kritisch

CVSS-Ergebnis: 6.5

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Beschreibung: Der lokale Zoom Meeting-Connector-MMR vor Version 4.8.113.20220526 prüft die Berechtigungen von Zoom Meeting-Teilnehmern nicht ausreichend. Dadurch kann ein böswilliger Akteur im Zoom Warteraum ohne Zustimmung des Hosts am Meeting teilnehmen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Lokaler Zoom Meeting-Connector vor Version 4.8.113.20220526

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB- 22010 06/14/2022 DLL-Injektion in Zoom Opener-Installer für Zoom Clients und Zoom Rooms-Geräte Kritisch CVE-2022-22788

Schweregrad: Kritisch

CVSS-Ergebnis: 7.1

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

Beschreibung: Benutzer laden den Zoom Opener-Installer von der Seite „Meeting starten“ herunter, wenn sie versuchen, ohne installierten Zoom Meeting-Client an einem Meeting teilzunehmen. Der Zoom Opener Installer für den Zoom Client for Meetings vor Version 5.10.3 und Zoom Rooms für Konferenzräume für Windows vor Version 5.10.3 ist anfällig für eine DLL-Injektion. Diese Schwachstelle könnte ausgenutzt werden, um beliebigen Code auf dem Host des Opfers auszuführen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie ältere Versionen des Zoom Opener-Installers löschen und die aktuelle Version des Zoom Opener-Installers über die Schaltfläche „Jetzt herunterladen“ auf der Seite „Meeting starten“ ausführen. Als weitere Sicherheitsmaßnahme können Benutzer unter https://zoom.us/download die neueste Zoom Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings für Windows vor Version 5.10.3
  • Alle Zoom Rooms für Konferenzräume für Windows vor Version 5.10.3

Quelle: Gemeldet von James Tsz Ko Yeung

ZSB-22009 05/17/2022 Unzureichende Überprüfung des Hostnamens beim Serverwechsel auf dem Zoom Client for Meetings Kritisch CVE-2022-22787

Schweregrad: Kritisch

CVSS-Ergebnis: 5.9

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Beschreibung: Der Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.10.0 kann den Hostnamen bei einer Serverwechselanforderung nicht ordnungsgemäß überprüfen. Dieses Problem könnte in einem komplexen Angriff genutzt werden, um den Client eines arglosen Benutzers bei der Nutzung von Zoom Diensten mit einem manipulierten Server zu verbinden.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.10.0

Quelle: Gemeldet von Ivan Fratric von Google Project Zero

ZSB-22008 05/17/2022 Herabstufung des Updatepakets in Zoom Client for Meetings für Windows Kritisch CVE-2022-22786

Schweregrad: Kritisch

CVSS-Ergebnis: 7.5

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Beschreibung: Der Zoom Client for Meetings für Windows vor Version 5.10.0 und Zoom Rooms für Konferenzräume für Windows vor Version 5.10.0 können die Installationsversion während des Aktualisierungsprozesses nicht ordnungsgemäß prüfen. Dieses Problem könnte in einem komplexen Angriff genutzt werden, um den Zoom Client eines Benutzers auf eine unsicherere Version herabzustufen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Alle Versionen des Zoom Client for Meetings für Windows vor Version 5.10.0
  • Alle Zoom Rooms für Konferenzräume für Windows vor Version 5.10.0

Quelle: Gemeldet von Ivan Fratric von Google Project Zero

ZSB-22007 05/17/2022 Nicht ordnungsgemäß eingeschränkte Sitzungscookies in Zoom Client for Meetings Kritisch CVE-2022-22785

Schweregrad: Kritisch

CVSS-Ergebnis: 5.9

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Beschreibung: Der Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.10.0 kann Client-Sitzungscookies auf Zoom-Domains nicht ordnungsgemäß beschränken. Dieses Problem könnte in einem komplexen Angriff genutzt werden, um die Zoom-Sitzungscookies eines Benutzers an eine Domain außerhalb von Zoom zu senden. Dies könnte möglicherweise das Spoofing eines Zoom-Benutzers ermöglichen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.10.0

Quelle: Gemeldet von Ivan Fratric von Google Project Zero

ZSB- 22006 05/17/2022 Fehlerhaftes XML-Parsing in Zoom Client for Meetings Kritisch CVE-2022-22784

Schweregrad: Kritisch

CVSS-Ergebnis: 8.1

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Beschreibung: Der Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.10.0 kann XML-Sätze in XMPP-Nachrichten nicht ordnungsgemäß parsen. Dadurch kann ein böswilliger Benutzer aus dem aktuellen XMPP-Nachrichtenkontext ausbrechen, einen neuen Nachrichtenkontext erstellen und den Client des empfangenden Benutzers zur Ausführung einer Reihe von Aktionen zu zwingen. Dieses Problem könnte in einem komplexen Angriff genutzt werden, um XMPP-Nachrichten vom Server zu fälschen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.10.0

Quelle: Gemeldet von Ivan Fratric von Google Project Zero

ZSB- 22005 04/27/2022 Verarbeitungsspeicheroffenlegung in lokalen Zoom Meeting-Diensten Kritisch CVE-2022-22783

Schweregrad: Kritisch

CVSS-Ergebnis: 8.3

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/CR:H

Beschreibung: Eine Schwachstelle des lokalen Zoom Meeting-Connector-Controllers der Version 4.8.102.20220310 und des lokalen Meeting-Connectors MMR Version 4.8.102.20220310 legt Fragmente des Verarbeitungsspeichers für verbundene Clients offen, die von einem passiven Angreifer beobachtet werden könnten.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder die neueste Zoom Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Lokaler Zoom Meeting-Connector-Controller Version 4.8.102.20220310
  • Lokaler Zoom Meeting-Connector-MMR Version 4.8.102.20220310

Quelle: Zoom Offensive Security Team

ZSB-22004 04/27/2022 Lokale Rechteeskalation in Windows Zoom Clients Kritisch CVE-2022-22782

Schweregrad: Kritisch

CVSS-Ergebnis: 7.9

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

Beschreibung: Der Versionen des Zoom Client for Meetings für Windows vor Version 5.9.7, des Zoom Rooms für Konferenzräume für Windows vor Version 5.10.0, des Zoom Plugins für Microsoft Outlook für Windows vor Version 5.10.3 und des Zoom VDI Windows Meeting Clients vor Version 5.9.6; waren während der Reparatur des Installationsprogramms anfällig für ein lokales Rechteeskalationsproblem. Ein böswilliger Akteur könnte das ausnutzen, um Dateien oder Ordner auf Systemebene zu löschen, was zu Integritäts- oder Verfügbarkeitsproblemen auf dem Hostcomputer des Benutzers führen könnte.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Alle Versionen von Zoom Client for Meetings für Windows vor Version 5.9.7
  • Alle Versionen von Zoom Rooms für Konferenzräume für Windows vor Version 5.10.0
  • Alle Versionen von Zoom Plugins für Microsoft Outlook für Windows vor Version 5.10.3
  • Alle Versionen von Zoom VDI Windows Meeting-Client vor Version 5.9.6

Quelle: Gemeldet von der Zero Day Initiative

ZSB-22003 04/27/2022 Herabstufung des Updatepakets in Zoom Client for Meetings für macOS Kritisch CVE-2022-22781

Schweregrad: Kritisch

CVSS-Ergebnis: 7.5

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Beschreibung: Der Zoom Client for Meetings für macOS (Standard und für IT-Administratoren) vor Version 5.9.6 konnte die Paketversion während des Aktualisierungsvorgangs nicht ordnungsgemäß überprüfen. Dies könnte dazu führen, dass ein böswilliger Akteur die aktuell installierte Version eines ahnungslosen Benutzers auf eine weniger sichere Version aktualisiert.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Alle Versionen von Zoom Client for Meetings für macOS (Standard und für IT-Administratoren) vor Version 5.9.6

Quelle: Gemeldet von Patrick Wardle von Objective-See

ZSB-22002 02/08/2022 Zoom Team Chat anfällig für Archivbomben Kritisch CVE-2022-22780

Schweregrad: Kritisch

CVSS-Ergebnis: 4.7

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L

Beschreibung: Die Zoom Client for Meetings-Chatfunktion war in den folgenden Produktversionen anfällig für Archivbombenangriffe: Android-Versionen älter als 5.8.6, iOS-Versionen älter als 5.9.0, Linux-Versionen älter als 5.8.6, macOS-Versionen älter als 5.7.3 und Windows-Versionen älter als 5.6.3. Dies konnte zu Verfügbarkeitsproblemen auf dem Client-Host führen, da die Systemressourcen ausgeschöpft wurden.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Alle Versionen von Zoom Client for Meetings für Android vor Version 5.8.6
  • Alle Versionen von Zoom Client for Meetings für iOS vor Version 5.9.0
  • Alle Versionen von Zoom Client for Meetings für Linux vor Version 5.8.6
  • Alle Versionen von Zoom Client for Meetings für macOS vor Version 5.7.3
  • Alle Versionen von Zoom Client for Meetings für Windows vor Version 5.6.3

Quelle: Gemeldet von Johnny Yu von Walmart Global Tech

ZSB-22001 02/08/2022 Gespeicherte selbstzerstörte Nachrichten in Keybase Clients für macOS und Windows Kritisch CVE-2022-22779

Schweregrad: Kritisch

CVSS-Ergebnis: 3.7

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Beschreibung: Keybase Clients für macOS und Windows vor Version 5.9.0 konnten von einem Benutzer initiierte selbstzerstörte Nachrichten nicht ordnungsgemäß entfernen. Dies kann auftreten, wenn der empfangende Benutzer zu einer Nicht-Chatfunktion wechselt und den Host in den Ruhemodus versetzt, bevor der Benutzer die Nachrichten zerstören lässt. Dies könnte zur Offenlegung vertraulicher Informationen führen, die eigentlich vom Dateisystem eines Benutzers gelöscht werden sollten.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://keybase.io/download die neueste Keybase-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Alle Keybase Clients für macOS und Windows vor Version 5.9.0

Quelle: Gemeldet von Olivia O'Hara

ZSB-21022 12/14/2021 Ausführung willkürlicher Befehle in Keybase Client für Windows Kritisch CVE-2021-34426

Schweregrad: Kritisch

CVSS-Ergebnis: 5.3

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

Beschreibung: Im Keybase Client für Windows vor Version 5.6.0 wurde eine Schwachstelle entdeckt, als ein Benutzer den Befehl „keybase git lfs-config“ über die Befehlszeile durchgeführt hat. In Versionen vor 5.6.0 konnte ein böswilliger Akteur mit Schreibzugriff auf ein Git-Repository eines Benutzers diese Schwachstelle ausnutzen, um möglicherweise beliebige Windows-Befehle auf dem lokalen System eines Benutzers auszuführen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://keybase.io/download die neueste Keybase-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Alle Keybase Clients für Windows vor Version 5.6.0

Quelle: Gemeldet von RyotaK

ZSB-21021 12/14/2021 Server-Side-Request-Forgery im Chat des Zoom Client for Meetings Kritisch CVE-2021-34425

Schweregrad: Kritisch

CVSS-Ergebnis: 4.7

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N

Beschreibung: Der Zoom Client for Meetings enthält vor Version 5.7.3 (für Android, iOS, Linux, macOS und Windows) eine Schwachstelle für Server-Side-Request-Forgery in der Linkvorschau-Funktion des Chats. Wenn ein Benutzer in Versionen vor 5.7.3 die Linkvorschau-Funktion des Chats aktiviert, kann ein böswilliger Akteur den Benutzer dazu verleiten, willkürliche HTTP GET-Anfragen an URLs zu senden, die der Akteur nicht direkt erreichen kann.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Alle Versionen des Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.7.3

Quelle: Gemeldet von Johnny Yu von Walmart Global Tech

ZSB-21020 11/24/2021 Prozessspeicheroffenlegung in Zoom Client und anderen Produkten Kritisch CVE-2021-34424

Schweregrad: Kritisch

CVSS-Ergebnis: 5.3

CVSS-Vektorstring: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Beschreibung: Bei den Produkten, die im Abschnitt „Betroffene Produkte“ dieses Bulletins gelistet sind, wurde eine Schwachstelle entdeckt, die möglicherweise die Offenlegung des Prozessspeicherzustands zulässt. Diese Lücke könnte ausgenutzt werden, um möglicherweise Einblick in beliebige Bereiche des Produktspeichers zu erhalten.

Zoom hat dieses Problem in den neuesten Versionen der im folgenden Abschnitt aufgeführten Produkte behoben. Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder die neueste Zoom Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.8.4
  • Zoom Client for Meetings für Blackberry (für Android und iOS) vor Version 5.8.1
  • Zoom Client for Meetings für intune (für Android und iOS) vor Version 5.8.4
  • Zoom Client for Meetings für Chrome OS vor Version 5.0.1
  • Zoom Rooms für Konferenzräume (für Android, AndroidBali, macOS und Windows) vor Version 5.8.3
  • Controller für Zoom Rooms (für Android, iOS und Windows) vor Version 5.8.3
  • Zoom VDI Windows Meeting-Client vor Version 5.8.4
  • Zoom VDI Azure Virtual-Desktop-Plug-ins (für Windows x86 oder x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) vor Version 5.8.4.21112
  • Zoom VDI Citrix Plugins (für Windows x86 oder x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) vor Version 5.8.4.21112
  • Zoom VDI VMware Plugins (für Windows x86 oder x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) vor Version 5.8.4.21112
  • Zoom Meeting SDK für Android vor Version 5.7.6.1922
  • Zoom Meeting SDK für iOS vor Version 5.7.6.1082
  • Zoom Meeting SDK für Windows vor Version 5.7.6.1081
  • Zoom Meeting SDK für Mac vor Version 5.7.6.1340
  • Zoom Video SDK (für Android, iOS, macOS und Windows) vor Version 1.1.2
  • Lokaler Zoom Meeting-Connector vor Version 4.8.12.20211115
  • Lokaler Zoom Meeting-Connector-MMR vor Version 4.8.12.20211115
  • Lokaler Zoom Aufzeichnungs-Connector vor Version 5.1.0.65.20211116
  • Lokaler virtueller Zoom Raum-Connector vor Version 4.4.7266.20211117
  • Lokaler virtueller Zoom Raum-Connector Load Balancer vor Version 2.5.5692.20211117
  • Zoom Hybrid Zproxy vor Version 1.0.1058.20211116
  • Zoom Hybrid MMR vor Version 4.6.20211116.131_x86-64

Quelle: Gemeldet von Natalie Silvanovich von Google Project Zero

ZSB-21019 11/24/2021 Pufferüberlauf in Zoom Client und anderen Produkten Kritisch CVE-2021-34423

Schweregrad: Kritisch

CVSS-Ergebnis: 7.3

CVSS-Vektorstring: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Beschreibung: Bei den Produkten, die im Abschnitt „Betroffene Produkte“ dieses Bulletins gelistet sind, wurde eine Schwachstelle bezüglich Pufferüberlauf entdeckt. Dies kann möglicherweise dazu führen, dass ein böswilliger Akteur den Dienst oder die Anwendung zum Absturz bringt oder diese Schwachstelle ausnutzt, um beliebigen Code auszuführen.

Zoom hat dieses Problem in den neuesten Versionen der im folgenden Abschnitt aufgeführten Produkte behoben. Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder die neueste Zoom Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.8.4
  • Zoom Client for Meetings für Blackberry (für Android und iOS) vor Version 5.8.1
  • Zoom Client for Meetings für intune (für Android und iOS) vor Version 5.8.4
  • Zoom Client for Meetings für Chrome OS vor Version 5.0.1
  • Zoom Rooms für Konferenzräume (für Android, AndroidBali, macOS und Windows) vor Version 5.8.3
  • Controller für Zoom Rooms (für Android, iOS und Windows) vor Version 5.8.3
  • Zoom VDI Windows Meeting-Client vor Version 5.8.4
  • Zoom VDI Azure Virtual-Desktop-Plug-ins (für Windows x86 oder x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) vor Version 5.8.4.21112
  • Zoom VDI Citrix Plugins (für Windows x86 oder x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) vor Version 5.8.4.21112
  • Zoom VDI VMware Plugins (für Windows x86 oder x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) vor Version 5.8.4.21112
  • Zoom Meeting SDK für Android vor Version 5.7.6.1922
  • Zoom Meeting SDK für iOS vor Version 5.7.6.1082
  • Zoom Meeting SDK für macOS vor Version 5.7.6.1340
  • Zoom Meeting SDK für Windows vor Version 5.7.6.1081
  • Zoom Video SDK (für Android, iOS, macOS und Windows) vor Version 1.1.2
  • Lokaler Zoom Meeting-Connector-Controller vor Version 4.8.12.20211115
  • Lokaler Zoom Meeting-Connector-MMR vor Version 4.8.12.20211115
  • Lokaler Zoom Aufzeichnungs-Connector vor Version 5.1.0.65.20211116
  • Lokaler virtueller Zoom Raum-Connector vor Version 4.4.7266.20211117
  • Lokaler virtueller Zoom Raum-Connector Load Balancer vor Version 2.5.5692.20211117
  • Zoom Hybrid Zproxy vor Version 1.0.1058.20211116
  • Zoom Hybrid MMR vor Version 4.6.20211116.131_x86-64

Quelle: Quelle: Gemeldet von Natalie Silvanovich von Google Project Zero

ZSB-21018 11/09/2021 Path-Traversal von Dateinamen im Keybase Client für Windows Kritisch CVE-2021-34422

Schweregrad: Kritisch

CVSS-Ergebnis: 7.2

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

Beschreibung: Der Keybase Client für Windows vor Version 5.7.0 enthält eine Path-Traversal-Schwachstelle, wenn der Name einer Datei überprüft wird, die in einen Team-Ordner hochgeladen wurde. Ein böswilliger Benutzer könnte eine Datei in einen freigegebenen Ordner mit einem speziell gestalteten Dateinamen hochladen, der einen Benutzer dazu bringen könnte, eine Anwendung auszuführen, die nicht auf seinem Host-Computer vorgesehen war. Wenn ein böswilliger Benutzer dieses Problem mit der Freigabefunktion für öffentliche Ordner des Keybase Clients ausnutzt, kann dies zu einer Remote-Codeausführung führen.

Keybase hat dieses Problem in Version 5.7.0 des Keybase Clients für Windows behoben. Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://keybase.io/download die neueste Keybase-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Keybase Client für Windows vor Version 5.7.0

Quelle: Gemeldet von m4t35z

ZSB-21017 11/09/2021 Gespeicherte selbstzerstörte Nachrichten in Keybase Clients für Android und iOS Kritisch CVE-2021-34421

Schweregrad: Kritisch

CVSS-Ergebnis: 3.7

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Beschreibung: Der Keybase Client für Android vor Version 5.8.0 und der Keybase Client für iOS vor Version 5.8.0 können selbstzerstörende Nachrichten nicht ordnungsgemäß entfernen, wenn der empfangende Benutzer die Chatsitzung in den Hintergrund platziert, während der sendende Benutzer die Nachrichten zerstören lässt. Dies könnte zur Offenlegung sensibler Informationen führen, die eigentlich vom Gerät des Kunden gelöscht werden sollten.

Keybase hat dieses Problem in Version 5.8.0 des Keybase Clients für Android und 5.8.0 des Keybase Clients für iOS behoben. Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://keybase.io/download die neueste Keybase-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Alle Keybase Clients für Android vor Version 5.8.0
  • Alle Keybase Clients für iOS vor Version 5.8.0

Quelle: Gemeldet von Olivia O'Hara, John Jackson, Jackson Henry und Robert Willis

ZSB-21016 11/09/2021 Umgehung der Signatur für Windows-Installationsdateien von Zoom Kritisch CVE-2021-34420

Schweregrad: Kritisch

CVSS-Ergebnis: 4.7

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N

Beschreibung: Das Installationsprogramm für den Zoom Client for Meetings für Windows vor Version 5.5.4 überprüft die Signatur von Dateien mit den Erweiterungen .msi, .ps1 und .bat nicht ordnungsgemäß. Dies könnte dazu führen, dass ein böswilliger Akteur Schadsoftware auf dem Computer des Kunden installiert.

Zoom hat dieses Problem in Version 5.5.4 des Zoom Client for Meetings für Windows behoben. Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Alle Versionen des Zoom Client for Meetings für Windows vor Version 5.5.4

Quelle: Gemeldet von Laurent Delosieres von ManoMano

ZSB-21015 11/09/2021 HTML-Injektion im Zoom Linux-Client Kritisch CVE-2021-34419

Schweregrad: Kritisch

CVSS-Ergebnis: 3.7

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

Beschreibung: Im Zoom Client for Meetings für Ubuntu Linux vor Version 5.1.0 liegt beim Senden einer Remote-Steuerungsanforderung an einen Benutzer im Prozess der Bildschirmfreigabe im Meeting ein HTML-Injektionsfehler vor. Auf diese Weise könnten Meeting-Teilnehmer zum Ziel von Social-Engineering-Angriffen werden.

Zoom hat dieses Problem in Version 5.1.0 des Zoom Client for Meetings für Ubuntu Linux behoben. Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings für Ubuntu Linux vor Version 5.1.0

Quelle: Gemeldet von Danny de Weille und Rick Verdoes von hackdefense

ZSB-21014 11/09/2021 Nullzeiger-Absturz vor Authentifizierung in der lokalen Webkonsole Kritisch CVE-2021-34418

Schweregrad: Kritisch

CVSS-Ergebnis: 4.0

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Beschreibung: Bei den Produkten, die im Abschnitt „Betroffene Produkte“ dieses Bulletins gelistet sind, scheitert der Anmeldedienst der Webkonsole bei der Validierung des während der Authentifizierung gesendeten NULL-Bytes. Dies könnte zu einem Absturz des Anmeldedienstes führen.

Betroffene Produkte:

  • Lokaler Zoom Meeting-Connector-Controller vor Version 4.6.239.20200613
  • Lokaler Zoom Meeting-Connector-MMR vor Version 4.6.239.20200613
  • Lokaler Zoom Aufzeichnungs-Connector vor Version 3.8.42.20200905
  • Lokaler virtueller Zoom Raum-Connector vor Version 4.4.6344.20200612
  • Lokaler virtueller Zoom Raum-Connector Load Balancer vor Version 2.5.5492.20200616

Quelle: Gemeldet von Jeremy Brown

ZSB-21013 11/09/2021 Authentifizierte Remote-Befehlsausführung mit Root-Rechten über die Webkonsole in MMR Kritisch CVE-2021-34417

Schweregrad: Kritisch

CVSS-Ergebnis: 7.9

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N

Beschreibung: Bei den Produkten, die im Abschnitt „Betroffene Produkte“ dieses Bulletins gelistet sind, scheitert die Netzwerk-Proxy-Seite im Web Portal bei der Validierung der Eingabe bei Anfragen für das Festlegen des Netzwerk-Proxy-Passworts. Dies könnte zu einer Remote-Befehlsinjektion durch einen Administrator des Web Portals führen.

Betroffene Produkte:

  • Lokaler Zoom Meeting-Connector-Controller vor Version 4.6.365.20210703
  • Lokaler Zoom Meeting-Connector-MMR vor Version 4.6.365.20210703
  • Lokaler Zoom Aufzeichnungs-Connector vor Version 3.8.45.20210703
  • Lokaler virtueller Zoom Raum-Connector vor Version 4.4.6868.20210703
  • Lokaler virtueller Zoom Raum-Connector Load Balancer vor Version 2.5.5496.20210703

Quelle: Gemeldet von Jeremy Brown

ZSB-21012 09/30/2021 Remote-Codeausführung für lokale Images über das Web Portal Kritisch CVE-2021-34416

Schweregrad: Kritisch

CVSS-Ergebnis: 5.5

CVSS-Vektorstring: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N

Beschreibung: Das Web Portal für administrative Netzwerkadressen-Einstellungen für den lokalen Zoom Meeting Connector vor Version 4.6.360.20210325, die lokale Zoom Meeting-Connector MMR vor Version 4.6.360.20210325, den lokalen Zoom Aufzeichnungs-Connector vor Version 3.8.44.20210326, den lokalen virtuellen Zoom Raum-Connector vor Version 4.4.6752.20210326 und den lokalen virtuellen Zoom Raum-Connector Load Balancer vor Version 2.5.5495.20210326 können Eingaben, die in Anforderungen zur Aktualisierung der Netzwerkkonfiguration gesendet wurden, nicht validieren. Dies kann zu einer Remote-Befehlsinjektion für das lokale Image durch die Administratoren des Web Portals führen.

Betroffene Produkte:

  • Lokaler Zoom Meeting-Connector vor Version 4.6.360.20210325
  • Lokaler Zoom Meeting-Connector-MMR vor Version 4.6.360.20210325
  • Lokaler Zoom Aufzeichnungs-Connector vor Version 3.8.44.20210326
  • Lokaler virtueller Zoom Raum-Connector vor Version 4.4.6752.20210326
  • Lokaler virtueller Zoom Raum-Connector Load Balancer vor Version 2.5.5495.20210326

Quelle: Gemeldet von Egor Dimitrenko von Positive Technologies

ZSB-21011 09/30/2021 ZC-Absturz mit PDU, der viele Zuordnungen verursacht Kritisch CVE-2021-34415

Schweregrad: Kritisch

CVSS-Ergebnis: 7.5

CVSS-Vektorstring: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Beschreibung: Der Zone Controller-Dienst im lokalen Zoom Meeting-Connector-Controller vor Version 4.6.358.20210205 überprüft das in eingehenden Netzwerkpaketen gesendete cnt-Feld nicht, was zur Erschöpfung der Ressourcen und zum Systemabsturz führt.

Betroffene Produkte:

  • Lokaler Zoom Meeting-Connector-Controller vor Version 4.6.358.20210205

Quelle: Gemeldet von Nikita Abramov von Positive Technologies

ZSB-21010 09/30/2021 Remote-Codeausführung für Meeting-Connector-Server über Web Portal-Netzwerk-Proxy-Konfiguration Kritisch CVE-2021-34414

Schweregrad: Kritisch

CVSS-Ergebnis: 7.2

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Beschreibung: Die Netzwerk-Proxy-Seite im Web Portal für den lokalen Zoom Meeting-Connector-Controller vor Version 4.6.348.20201217, die lokale Zoom Meeting-Connector MMR vor Version 4.6.348.20201217, den lokalen Zoom Aufzeichnungs-Connector vor Version 3.8.42.20200905, den lokalen virtuellen Zoom Raum-Connector vor Version 4.4.6620.20201110 und den lokalen virtuellen Zoom Raum-Connector Load Balancer vor Version 2.5.5495.20210326 kann Eingaben, die in Anforderungen zur Aktualisierung der Netzwerk-Proxy-Konfiguration gesendet wurden, nicht validieren. Dies kann zu einer Remote-Befehlsinjektion für das lokale Image durch einen Administrator des Web Portals führen.

Betroffene Produkte:

  • Lokaler Zoom Meeting-Connector-Controller vor Version 4.6.348.20201217
  • Lokaler Zoom Meeting-Connector-MMR vor Version 4.6.348.20201217
  • Lokaler Zoom Aufzeichnungs-Connector vor Version 3.8.42.20200905
  • Lokaler virtueller Zoom Raum-Connector vor Version 4.4.6620.20201110
  • Lokaler virtueller Zoom Raum-Connector Load Balancer vor Version 2.5.5495.20210326

Quelle: Gemeldet von Egor Dimitrenko von Positive Technologies

ZSB-21009 09/30/2021 Zoom macOS Outlook Plug-in-Installer – lokale Rechteeskalation Kritisch CVE-2021-34413

Schweregrad: Kritisch

CVSS-Ergebnis: 2.8

CVSS-Vektorstring: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N

Beschreibung: Alle Versionen des Zoom-Plug-ins für Microsoft Outlook für macOS vor 5.3.52553.0918 enthalten eine Time-of-Check-Time-of-Use-Schwachstelle (TOC/TOU) während der Plug-in-Installation. Dies könnte es einem Standardbenutzer ermöglichen, seine eigene bösartige Anwendung in das Plug-in-Verzeichnis zu schreiben, sodass die bösartige Anwendung in einem privilegierten Kontext ausgeführt werden kann.

Betroffene Produkte:

  • Alle Versionen des Zoom-Plug-ins für Microsoft Outlook für macOS vor 5.3.52553.0918

Quelle: Gemeldet vom Lockheed Martin Red Team

ZSB-21008 09/30/2021 Zoom für Windows-Installer – lokale Rechteeskalation Kritisch CVE-2021-34412

Schweregrad: Kritisch

CVSS-Ergebnis: 4.4

CVSS-Vektorstring: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Beschreibung: Während der Installation für alle Versionen des Zoom Client for Meetings für Windows vor 5.4.0 ist es möglich, den Internet Explorer zu starten. Wenn das Installationsprogramm mit erhöhten Rechten gestartet wurde, z. B. durch SCCM, kann dies zu einer lokalen Rechteeskalation führen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings für Windows vor Version 5.4.0

Quelle: Gemeldet vom Lockheed Martin Red Team

ZSB-21007 09/30/2021 Zoom Rooms-Installer – lokale Rechteeskalation Kritisch CVE-2021-34411

Schweregrad: Kritisch

CVSS-Ergebnis: 4.4

CVSS-Vektorstring: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Beschreibung: Während der Installation für Zoom Rooms für Konferenzräume für Windows vor Version 5.3.0 ist es möglich, den Internet Explorer mit erhöhten Rechten zu starten. Wenn das Installationsprogramm mit erhöhten Rechten gestartet wurde, z. B. durch SCCM, kann dies zu einer lokalen Rechteeskalation führen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Rooms für Konferenzräume für Windows vor Version 5.3.0
  • Zoom Rooms für Konferenz Version 5.1.0

Quelle: Gemeldet vom Lockheed Martin Red Team

ZSB-21004 09/30/2021 Zoom MSI-Installer – erhöhter Schreibzugriff mit einer Junction Kritisch CVE-2021-34408

Schweregrad: Kritisch

CVSS-Ergebnis: 7.0

CVSS-Vektorstring: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Beschreibung: Ein vom Benutzer beschreibbares Verzeichnis, das während der Installation einer Version des Zoom Client for Meetings für Windows vor Version 5.3.2 erstellt wurde, kann über eine Junction an einen anderen Speicherort umgeleitet werden. Dadurch könnte ein Angreifer Dateien überschreiben, die ein eingeschränkter Benutzer andernfalls nicht ändern könnte.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client für Meetings für Windows vor Version 5.3.2

Quelle: Gemeldet vom Lockheed Martin Red Team

ZSB-21003 09/30/2021 Umgehung digitaler Signaturen im Zoom Installer für Windows Kritisch CVE-2021-33907

Schweregrad: Kritisch

CVSS-Ergebnis: 7.0

CVSS-Vektorstring: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H/MPR:N/MUI:R/MS:U/MC:H/MI:H/MA:H

Beschreibung: Der Zoom Client für Meetings für Windows in allen Versionen vor 5.3.0 kann die Zertifikatinformationen, die zum Signieren von .msi-Dateien verwendet werden, nicht ordnungsgemäß überprüfen, wenn ein Update des Clients durchgeführt wird. Dies kann zur Remote-Codeausführung mit erhöhten Berechtigungen führen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Alle Versionen des Zoom Client for Meetings für Windows vor Version 5.3.0

Quelle: Gemeldet vom Lockheed Martin Red Team

ZSB-21002 08/13/2021 Heap-Überlauf wegen ungeprüftem Schreibvorgang in statischen Puffer durch XMPP-Nachricht Kritisch CVE-2021-30480

Schweregrad: Kritisch

CVSS-Ergebnis: 8.1

CVSS-Vektorstring: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H

Beschreibung: In allen Desktop-Versionen von Zoom Client for Meetings vor Version 5.6.3 kommt es zu einem Heap-basierten Pufferüberlauf. Dieses Problem wurde Zoom im Rahmen der Pwn20wn 2021 in Vancouver gemeldet. Die auf der Pwn20wn demonstrierte Angriffskette wurde am 9. April 2021 durch eine serverseitige Änderung an der Infrastruktur von Zoom neutralisiert.

In Kombination mit zwei weiteren während der Pwn20wn gemeldeten Schwachstellen (ungültige URL-Validierung beim Senden einer XMPP-Nachricht zum Zugreifen auf eine App-URL auf Zoom Marketplace und falsche URL-Validierung beim Anzeigen eines Giphy-Bilds) können Angreifer per Remote-Verbindung Code auf dem Computer ihres Ziels ausführen.
Damit der Angriff funktioniert, muss das Ziel vorher eine Verbindungsanfrage des Angreifers angenommen haben oder sich zusammen mit dem Angreifer in einem Multi-Benutzer-Chat befinden. Die auf der Pwn20wn demonstrierte Angriffskette kann für Ziele sehr offensichtlich sein, da sie zur Generierung zahlreicher Client-Benachrichtigungen führt.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Alle Desktop-Versionen von Zoom Client for Meetings vor Version 5.6.3

Quelle: Gemeldet von Daan Keuper und Thijs Alkemade von Computest über die Zero Day Initiative.

ZSB-21001 03/26/2021 Funktion für die Bildschirmfreigabe in Anwendungsfenstern Kritisch CVE-2021-28133

Schweregrad: Kritisch

CVSS-Ergebnis: 5,7

CVSS-Vektorstring: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

Beschreibung: Die Bildschirmfreigabefunktion des Zoom-Clients für Windows und Linux war von einer Schwachstelle betroffen, die während der Freigabe einzelner Anwendungsfenster auftrat. Dabei waren Bildschirminhalte von Anwendungen, die nicht explizit von den Benutzern der Bildschirmfreigabe freigegeben wurden, möglicherweise kurze Zeit für andere Meeting-Teilnehmer sichtbar, wenn die freigebende Person ein anderes Fenster minimierte, maximierte oder schloss.

Zoom führte im Zoom-Client für Windows Version 5.6 mehrere neue Sicherheitsmaßnahmen ein, die die Wahrscheinlichkeit des Auftretens dieses Problems für Windows-Benutzer verringern. Wir arbeiten weiterhin an zusätzlichen Maßnahmen zur Behebung dieses Problems auf allen betroffenen Plattformen.

Zoom hat das Problem am 1. März 2021 auch für Ubuntu-Benutzer in der Version 5.5.4 von Zoom Client für Linux behoben. Benutzer können aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Alle Zoom-Client-Versionen für Windows
  • Zoom-Client-Versionen für Linux vor 5.5.4 auf Ubuntu
  • Alle Client-Versionen für Linux auf anderen unterstützten Distributionen

Quelle: Entdeckt von Michael Stramez und Matthias Deeg.

ZSB-20002 08/14/2020 Windows DLL im Zoom Sharing Service Kritisch CVE-2020-9767

Schweregrad: Kritisch

CVSS-Ergebnis: 7.8

CVSS-Vektorstring: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Beschreibung: Eine Schwachstelle im Zusammenhang mit dem Laden der Dynamic-Link Library („DLL“) im Zoom Sharing Service könnte es einem lokalen Windows-Benutzer ermöglichen, seine Berechtigungen auf die des NT AUTHORITY/SYSTEM-Benutzers zu eskalieren.

Die Schwachstelle ist auf unzureichende Signaturprüfungen dynamisch geladener DLLs beim Laden einer signierten ausführbaren Datei zurückzuführen. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine schädliche DLL in eine signierte ausführbare Zoom-Datei einfügt und diese zum Starten von Prozessen mit erhöhten Berechtigungen verwendet.

Zoom hat dieses Problem in der Clientversion 5.0.4 behoben. Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Windows Installer-Versionen (ZoomInstallerFull.msi) vor 5.0.4

Quelle: Connor Scott von Context Information Security

ZSB-20001 05/04/2020 Zoom-IT-Installer für Windows Kritisch CVE-2020-11443

Schweregrad: Kritisch

CVSS-Ergebnis: Basis: 8,4

CVSS-Vektorstring: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Beschreibung: Eine Schwachstelle, die sich daraus ergibt, wie der Zoom Windows-Installer beim Löschen von Dateien Abzweigungen verarbeitet, könnte es einem lokalen Windows-Benutzer ermöglichen, Dateien zu löschen, die vom Benutzer sonst nicht gelöscht werden können.

Die Schwachstelle ist auf die unzureichende Überprüfung auf Abzweigungen in dem Verzeichnis zurückzuführen, aus dem der Installer Dateien löscht und das von Standardbenutzern beschreibbar ist. Ein böswilliger lokaler Benutzer könnte diese Schwachstelle ausnutzen, indem er eine Abzweigung im betroffenen Verzeichnis erstellt, die auf geschützte Systemdateien oder andere Dateien verweist, für die der Benutzer keine Berechtigungen besitzt. Beim Ausführen des Zoom Windows-Installers mit erhöhten Berechtigungen, wie dies bei der Ausführung über verwaltete Bereitstellungssoftware der Fall ist, würden diese Dateien aus dem System gelöscht werden.

Zoom hat dieses Problem in der Clientversion 4.6.10 behoben. Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Windows Installer-Versionen (ZoomInstallerFull.msi) vor 4.6.10

Quelle: Danke an das Lockheed Martin Red Team.

ZSB-19003 07/12/2019 ZoomOpener-Daemon Kritisch CVE-2019-13567

Schweregrad: Kritisch

CVSS-Ergebnis: Basis: 7,5

CVSS-Vektorstring: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Beschreibung: Eine Schwachstelle im Zoom-Client für macOS könnte es einem Angreifer ermöglichen, Schadsoftware auf das Gerät eines Opfers herunterzuladen.

Die Schwachstelle ist auf eine unsachgemäße Eingabeüberprüfung und Validierung heruntergeladener Software im ZoomOpener-Hilfsprogramm zurückzuführen. Ein Angreifer könnte die Schwachstelle ausnutzen, um das Gerät eines Opfers aufzufordern, Dateien für die Zwecke des Angreifers herunterzuladen. Ein erfolgreicher Exploit ist nur möglich, wenn das Opfer zuvor den Zoom-Client deinstalliert hat.

Zoom hat dieses Problem in der Clientversion 4.4.52595.0425 behoben. Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client für macOS vor Version 4.4.52595.0425 und nach Version 4.1.27507.0627

Quelle: Unbekannt.

ZSB-19002 07/09/2019 Standard-Videoeinstellung Kritisch CVE-2019-13450

Schweregrad: Kritisch

CVSS-Ergebnis: Basis: 3,1

CVSS-Vektorstring: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

Beschreibung: Eine Schwachstelle im Zoom- und RingCentral-Client für macOS könnte es einem nicht authentifizierten Remote-Angreifer ermöglichen, einen Benutzer zum Beitritt zu einem Videoanruf mit eingeschalteter Kamera zu zwingen.

Die Schwachstelle ist auf unzureichende Autorisierungskontrollen zurückzuführen, um zu überprüfen, welche Systeme mit dem lokalen auf Port 19421 ausgeführten Zoom-Webserver kommunizieren können. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine bösartige Website erstellt, die dazu führt, dass der Zoom-Client, automatisch an einem vom Angreifer eingerichteten Meeting teilnimmt.

Zoom hat in Clientversion 4.4.5, die am 14. Juli 2019 veröffentlicht wurde, ein neues Dialogfeld für die Video-Vorschau implementiert, das dem Benutzer vor der Teilnahme an einem Meeting angezeigt wird. Dieses Dialogfeld ermöglicht es dem Benutzer, an dem Meeting mit oder ohne eingeschaltetem Video teilzunehmen, und erfordert, dass der Benutzer das gewünschte Standardverhalten für Video festlegt. Zoom bittet Kunden dringend, die neueste Zoom-Client-Version zu installieren, die unter https://zoom.us/download verfügbar ist.

Betroffene Produkte:

  • Zoom Client für macOS vor Version 4.4.5
  • RingCentral-Client für macOS vor Version 4.4.5

Quelle: Entdeckt von Jonathan Leitschuh.

ZSB-19001 07/09/2019 Denial-of-Service-Angriff –macOS Kritisch CVE-2019-13449

Schweregrad: Kritisch

CVSS-Ergebnis: Basis: 3,1

CVSS-Vektorstring: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Beschreibung: Eine Schwachstelle im Zoom-Client für macOS könnte es einem nicht authentifizierten Remote-Angreifer ermöglichen, auf dem System eines Opfers eine Denial-of-Service-Bedingung auszulösen.

Die Schwachstelle ist auf unzureichende Autorisierungskontrollen zurückzuführen, um zu überprüfen, welche Systeme mit dem lokalen auf Port 19421 ausgeführten Zoom-Webserver kommunizieren können. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine bösartige Website erstellt, die dazu führt, dass der Zoom-Client wiederholt versucht, mit einer ungültigen Meeting-ID an einem Meeting teilzunehmen. Die Endlosschleife bewirkt, dass der Zoom-Client nicht mehr funktioniert, und kann die Leistung des Systems beeinträchtigen, auf dem er ausgeführt wird.

Zoom veröffentlichte am 28. April 2019 Hotfix Version 4.4.2 des macOS-Clients, um das Problem zu beheben. Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client für macOS vor Version 4.4.5
  • RingCentral-Client für macOS vor Version 4.4.5

Quelle: Entdeckt von Jonathan Leitschuh.

No results found

Bitte geben Sie Ihre persönliche E-Mail-Adresse an, um Benachrichtigungen zu zukünftigen Zoom Sicherheitsmeldungen zu erhalten. (Hinweis: E-Mail-Aliase erhalten diese Benachrichtigungen nicht.)