Sicherheitsmeldungen
ZSB | Date | Title | Severity | CVE (if applicable) | |
---|---|---|---|---|---|
|
ZSB-23005 | 03/14/2023 | Unsachgemäße Trust Boundary-Implementierung für KMU in Zoom-Anwendungen | High | CVE-2023-28597 |
Severity: High CVSS Score: 8.3 CVSS Vector String: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Description: Zoom-Anwendungen vor Version 5.13.5 haben eine Sicherheitslücke in Bezug auf die unsachgemäße Trust Boundary-Implementierung. Wenn ein Angriffsopfer eine lokale Aufzeichnung an einem KMU-Standort speichert und später über einen Link vom Zoom Web Portal öffnet, kann ein Angreifer in einem an die Anwendung des Betroffenen angrenzenden Netzwerk einen böswilligen KMU-Server zum Antworten auf Anwendungsanfragen einrichten. Die Anwendung führt dann vom Angreifer kontrollierte Executables aus. Dies kann dazu führen, dass ein Angreifer Zugriff auf das Gerät und die Daten eines Benutzers erhält und dass Code aus der Ferne ausgeführt wird. Affected Products:
Source: Gemeldet vom Zoom Offensive Security Team |
|||||
|
ZSB-23004 | 03/14/2023 | Eskalation lokaler Berechtigungen in Zoom for macOS-Installationsprogrammen | Medium | CVE-2023-28596 |
Severity: Medium CVSS Score: 5.2 CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L
Description: macOS-Installationsprogramme der Zoom-Anwendung für IT-Admins vor Version 5.13.5 haben eine Sicherheitslücke in Bezug auf die Eskalation lokaler Berechtigungen. Ein lokaler Benutzer mit wenigen Berechtigungen kann diese Sicherheitslücke in einer Angriffskette während des Installationsvorgangs ausnutzen, um seine Berechtigungen bis auf die Root-Ebene zu eskalieren. Affected Products:
Source: Gemeldet von Koh M. Nakagawa (tsunekoh) |
|||||
|
ZSB-23003 | 03/14/2023 | Eskalation lokaler Berechtigungen in Zoom for Windows-Installationsprogrammen | High | CVE-2023-22883 |
Severity: High CVSS Score: 7.2 CVSS Vector String: CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:N/I:H/A:H
Description: Windows-Installationsprogramme der Zoom-Anwendung für IT-Admins vor Version 5.13.5 haben eine Schwachstelle in Bezug auf die Eskalation lokaler Berechtigungen. Ein lokaler Benutzer mit wenigen Berechtigungen kann diese Sicherheitslücke in einer Angriffskette während des Installationsvorgangs ausnutzen, um seine Berechtigungen bis zur Ebene SYSTEM-Benutzer zu eskalieren. Affected Products:
Source: Gemeldet von sim0nsecurity |
|||||
|
ZSB-23002 | 03/14/2023 | Denial of Service in Zoom-Anwendungen | Medium |
CVE-2023-22881 CVE-2023-22882 |
Severity: Medium CVSS Score: 6.5 CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Description: Zoom-Anwendungen vor Version 5.13.5 haben eine Schwachstelle in Bezug auf STUN-Parsing. Ein böswilliger Akteur kann speziell entwickelten UDP-Traffic an eine Zoom-Anwendung senden, um aus der Ferne den Ausfall der Anwendung zu verursachen (also einen Denial of Service). Affected Products:
Source: Gemeldet vom Zoom Offensive Security Team |
|||||
|
ZSB-23001 | 03/14/2023 | Informationsoffenlegung in Zoom for Windows-Anwendungen | Medium | CVE-2023-22880 |
Severity: Medium CVSS Score: 6.8 CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N
Description: Zoom for Windows-Anwendungen vor Version 5.13.3, Zoom Rooms for Windows-Anwendungen vor Version 5.13.5 und Zoom VDI for Windows-Anwendungen vor 5.13.1 haben eine Schwachstelle in Bezug auf die Informationsoffenlegung. Ein kürzliches Update an Microsoft Edge WebView2 Runtime, das von den betroffenen Zoom-Anwendungen verwendet wird, hat Text in die Online-Rechtschreibprüfung statt die lokale Windows-Rechtschreibprüfung übertragen. Ein Update von Zoom behebt diese Sicherheitslücke durch Deaktivierung der Funktion. Das Update von Microsoft Edge WebView2 Runtime auf mindestens Version 109.0.1481.0 und der Neustart von Zoom behebt diese Sicherheitslücke durch Aktualisieren des Telemetrieverhaltens von Microsoft. Affected Products:
Source: Gemeldet vom Zoom Security Team |
|||||
|
ZSB-22035 | 01/06/2023 | Eskalation lokaler Berechtigungen in Zoom Rooms for Windows-Installationsprogrammen | High | CVE-2022-36930 |
Severity: High CVSS Score: 8.2 CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
Description: Zoom Rooms for Windows-Installationsprogramme vor Version 5.13.0 haben eine Sicherheitslücke in Bezug auf die Eskalation lokaler Berechtigungen. Ein lokaler Benutzer mit wenigen Berechtigungen kann diese Sicherheitslücke in einer Angriffskette ausnutzen, um seine Berechtigungen bis zur Ebene SYSTEM-Benutzer zu eskalieren. Affected Products:
Source: Gemeldet von sim0nsecurity |
|||||
|
ZSB-22034 | 01/06/2023 | Eskalation lokaler Berechtigungen in Zoom Rooms for Windows-Anwendungen | High | CVE-2022-36929 |
Severity: High CVSS Score: 7.8 CVSS Vector String: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Description: Zoom Rooms for Windows-Anwendungen vor Version 5.12.7 haben eine Sicherheitslücke in Bezug auf die Eskalation lokaler Berechtigungen. Ein lokaler Benutzer mit wenigen Berechtigungen kann diese Sicherheitslücke in einer Angriffskette ausnutzen, um seine Berechtigungen bis zur Ebene SYSTEM-Benutzer zu eskalieren. Affected Products:
Source: Gemeldet von sim0nsecurity |
|||||
|
ZSB-22033 | 01/06/2023 | Path Traversal in Zoom for Android-Anwendungen | Critical | CVE-2022-36928 |
Severity: Critical CVSS Score: 6.1 CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
Description: Zoom for Android-Anwendungen vor Version 5.13.0 haben eine Sicherheitslücke in Bezug auf Path Traversal. Eine Drittanbieter-App kann diese Sicherheitslücke ausnutzen, um Lese- und Schreibvorgänge im Zoom-Anwendungsdatenverzeichnis durchzuführen. Affected Products:
Source: Gemeldet von Dimitrios Valsamaras von Microsoft |
|||||
|
ZSB-22032 | 01/06/2023 | Eskalation lokaler Berechtigungen in Zoom Rooms for macOS-Anwendungen | Critical |
CVE-2022-36926 CVE-2022-36927 |
Severity: Critical CVSS Score: 8.8 CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Description: Zoom Rooms for macOS-Anwendungen vor Version 5.11.3 haben eine Sicherheitslücke in Bezug auf die Eskalation lokaler Berechtigungen. Ein lokaler Benutzer mit geringen Berechtigungen kann diese Sicherheitsanfälligkeit ausnutzen, um seine Berechtigungen bis auf die Root-Ebene zu eskalieren. Affected Products:
Source: Gemeldet von Kirin (Pwrin) |
|||||
|
ZSB-22031 | 01/06/2023 | Nicht sichere Schlüsselgenerierung für Zoom Rooms for macOS-Anwendungen | Critical | CVE-2022-36925 |
Severity: Critical CVSS Score: 4.4 CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
Description: Zoom Rooms for macOS-Anwendungen vor Version 5.11.4 haben einen nicht sicheren Mechanismus zur Schlüsselgenerierung. Der Verschlüsselungsschlüssel für IPC zwischen dem Daemon-Service von Zoom Rooms und dem Zoom Rooms-Gerät wurde mit Parametern generiert, die von einer lokalen Anwendung mit wenigen Berechtigungen abgerufen werden konnten. Dieser Schlüssel kann dann zum Interagieren mit dem Daemon-Service verwendet werden, um privilegierte Funktionen auszuführen und einen lokalen Denial of Service zu verursachen. Affected Products:
Source: Gemeldet von Kirin (Pwrin) |
|||||
|
ZSB-22030 | 11/15/2022 | Eskalation lokaler Berechtigungen im Zoom Rooms-Installationsprogramm für Windows | Critical | CVE-2022-36924 |
Severity: Critical CVSS Score: 8.8 CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Description: Das Zoom Rooms-Installationsprogramm für Windows vor 5.12.6 enthält eine Schwachstelle im Zusammenhang mit der lokalen Rechteeskalation. Ein lokaler Benutzer mit geringen Berechtigungen kann diese Schwachstelle während des Installationsvorgangs ausnutzen, um seine Berechtigungen bis zur Ebene SYSTEM-Benutzer zu eskalieren. Affected Products:
Source: Gemeldet von sim0nsecurity |
|||||
|
ZSB-22029 | 11/15/2022 | Eskalation lokaler Berechtigungen im Zoom Client-Installationsprogramm für macOS | Critical | CVE-2022-28768 |
Severity: Critical CVSS Score: 8.8 CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Description: Das Zoom Client for Meetings-Installationsprogramm für macOS (Standard und für IT-Administratoren) vor Version 5.12.6 enthält eine Schwachstelle im Zusammenhang mit lokaler Rechteeskalation. Ein lokaler Benutzer mit geringen Berechtigungen kann diese Schwachstelle während des Installationsvorgangs ausnutzen, um seine Berechtigungen bis auf die Root-Ebene zu eskalieren. Affected Products:
Source: Gemeldet von Koh M. Nakagawa (tsunekoh) |
|||||
|
ZSB-22027 | 11/15/2022 | DLL-Injektion in Zoom Windows-Clients | Critical | CVE-2022-28766 |
Severity: Critical CVSS Score: 8.1 CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L
Description: Windows-32-Bit-Versionen des Zoom Client for Meetings vor 5.12.6 und Zoom Rooms for Conference Room vor 5.12.6 sind für eine DLL-Injektionsschwachstelle anfällig. Ein lokaler Benutzer mit geringen Berechtigungen kann diese Schwachstelle ausnutzen, um beliebigen Code im Kontext der Zoom-Anwendung auszuführen. Affected Products:
Source: Gemeldet von sim0nsecurity |
|||||
|
ZSB-22025 | 11/10/2022 | Lokale Informationsoffenlegung in Zoom-Anwendungen | Critical | CVE-2022-28764 |
Severity: Critical CVSS Score: 3.3 CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Description: Der Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.12.6 ist anfällig für eine Schwachstelle, bei der lokale Informationen offengelegt werden. Affected Products:
Source: Gemeldet von Christian Zäske, SySS GmbH |
|||||
|
ZSB-22024 | 10/24/2022 | Unsachgemäßes URL-Parsing in Zoom Clients | Critical | CVE-2022-28763 |
Severity: Critical CVSS Score: 8.8 CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Description: Der Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.12.2 ist anfällig für eine URL-Parsing-Schwachstelle. Wenn eine schädliche Zoom-Meeting-URL geöffnet wird, kann der bösartige Link den Benutzer dazu verleiten, eine Verbindung zu einer beliebigen Netzwerkadresse herzustellen, was zu zusätzlichen Angriffen führt, einschließlich Sitzungsübernahmen. Affected Products:
Source: Gemeldet vom Zoom Security Team |
|||||
|
ZSB-22023 | 10/11/2022 | Fehlkonfiguration des Debugports in Zoom Apps im Zoom Client for Meetings für macOS | Critical | CVE-2022-28762 |
Severity: Critical CVSS Score: 7.3 CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
Description: Zoom Client for Meetings für macOS (Standard und für IT-Administratoren) ab Version 5.10.6 und vor Version 5.12.0 enthält eine falsche Konfiguration des Debugging-Ports. Wenn der Kameramodus-Renderkontext als Teil der Zoom App Layers-API aktiviert ist, wird durch das Ausführen bestimmter Zoom Apps ein lokaler Debugport vom Zoom-Client geöffnet. Ein lokaler böswilliger Benutzer könnte diesen Debugport verwenden, um eine Verbindung zu den Zoom Apps, die im Zoom-Client ausgeführt werden, herzustellen und diese zu steuern. Affected Products:
Source: Gemeldet vom Zoom Security Team |
|||||
|
ZSB-22022 | 10/11/2022 | Lokale Zoom-Bereitstellungen: Unsachgemäße Zugriffssteuerung | Critical | CVE-2022-28761 |
Severity: Critical CVSS Score: 6.5 CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Description: Der lokale Zoom Meeting-Connector MMR vor Version 4.8.20220916.131 enthält eine Schwachstelle bezüglich falscher Zugriffssteuerung. Daher kann ein böswilliger Akteur in einem Meeting oder einem Webinar, an dem er teilnehmen darf, verhindern, dass Teilnehmer Audio und Video empfangen, was zu Meeting-Unterbrechungen führt. Affected Products:
Source: Gemeldet vom Zoom Offensive Security Team |
|||||
|
ZSB-22021 | 09/13/2022 | Lokale Zoom-Bereitstellungen: Unsachgemäße Zugriffssteuerung | Critical | CVE-2022-28760 |
Severity: Critical CVSS Score: 6.5 CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Description: Der lokale Zoom Meeting-Connector MMR vor Version 4.8.20220815.130 enthält eine Schwachstelle bezüglich falscher Zugriffssteuerung. Infolgedessen kann ein böswilliger Akteur an einem Meeting teilnehmen, ohne für die anderen Teilnehmer sichtbar zu sein. Affected Products:
Source: Gemeldet vom Zoom Offensive Security Team |
|||||
|
ZSB-22020 | 09/13/2022 | Lokale Zoom-Bereitstellungen: Unsachgemäße Zugriffssteuerung | Critical |
CVE-2022-28758 CVE-2022-28759 |
Severity: Critical CVSS Score: 8.2 CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Description: Der lokale Zoom Meeting-Connector MMR vor Version 4.8.20220815.130 enthält eine Schwachstelle bezüglich falscher Zugriffssteuerung. Infolgedessen könnte ein böswilliger Akteur unberechtigten Zugriff auf die Audio- und Videospur eines Meetings erlangen und Meetings anderweitig stören. Affected Products:
Source: Gemeldet vom Zoom Security Team |
|||||
|
ZSB-22019 | 08/17/2022 | Eskalation lokaler Berechtigungen in Auto Updater für Zoom Client for Meetings für macOS | Critical | CVE-2022-28757 |
Severity: Critical CVSS Score: 8.8 CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Description: Der Zoom Client for Meetings für macOS (Standard und für IT-Administratoren) ab Version 5.7.3 und vor 5.11.6 enthält eine Schwachstelle im automatischen Update-Prozess. Ein lokaler Benutzer mit geringen Berechtigungen kann diese Sicherheitsanfälligkeit ausnutzen, um seine Berechtigungen bis auf die Root-Ebene zu eskalieren. Affected Products:
Source: Berichtet von Csaba Fitzl (theevilbit) von Offensive Security |
|||||
|
ZSB-22018 | 08/13/2022 | Eskalation lokaler Berechtigungen in Auto Updater für Zoom-Produkte unter macOS [Updated 2022-09-13] | Critical | CVE-2022-28756 |
Severity: Critical CVSS Score: 8.8 CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Description: Der Zoom Client for Meetings für macOS (Standard und für IT-Administratoren) ab Version 5.7.3 und vor 5.11.5 sowie Zoom Rooms für Konferenzräume für macOS vor Version 5.11.6 enthalten eine Schwachstelle im automatischen Update-Prozess. Ein lokaler Benutzer mit geringen Berechtigungen kann diese Sicherheitsanfälligkeit ausnutzen, um seine Berechtigungen bis auf die Root-Ebene zu eskalieren. Affected Products:
Source: Gemeldet von Patrick Wardle von Objective-See |
|||||
|
ZSB-22017 | 08/09/2022 | Eskalation lokaler Berechtigungen im Zoom Client for Meetings für macOS | Critical | CVE-2022-28751 |
Severity: Critical CVSS Score: 8.8 CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Description: Der Zoom Client for Meetings für macOS (Standard und für IT-Administratoren) vor Version 5.11.3 enthält eine Schwachstelle in der Paketsignaturvalidierung während des Update-Prozesses. Ein lokaler Benutzer mit geringen Berechtigungen kann diese Sicherheitsanfälligkeit ausnutzen, um seine Berechtigungen bis auf die Root-Ebene zu eskalieren. Affected Products:
Source: Gemeldet von Patrick Wardle von Objective-See |
|||||
|
ZSB-22014 | 08/09/2022 | Lokale Zoom-Bereitstellungen: Unsachgemäße Zugriffssteuerung | Critical |
CVE-2022-28753 CVE-2022-28754 |
Severity: Critical CVSS Score: 7.1 CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N
Description: Der lokale Zoom Meeting-Connector MMR vor Version 4.8.129.20220714 enthält eine Schwachstelle bezüglich falscher Zugriffssteuerung. Infolgedessen kann ein böswilliger Akteur an einem Meeting teilnehmen, ohne für die anderen Teilnehmer sichtbar zu sein, er kann sich aus dem Warteraum in das Meeting einlassen und Host werden sowie Meetings anderweitig stören. Affected Products:
Source: Gemeldet vom Zoom Offensive Security Team |
|||||
|
ZSB-22016 | 08/09/2022 | Unsachgemäßes URL-Parsing in Zoom Clients [Updated 2022-10-24] | Critical | CVE-2022-28755 |
Severity: Critical CVSS Score: 9.6 CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Description: Der Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.11.0 ist anfällig für eine URL-Parsing-Schwachstelle. Wenn eine schädliche Zoom-Meeting-URL geöffnet wird, kann der bösartige Link den Benutzer dazu verleiten, eine Verbindung zu einer beliebigen Netzwerkadresse herzustellen, was zu zusätzlichen Angriffen führt, einschließlich des Potenzials für die Remote-Code-Ausführung durch das Starten von ausführbaren Dateien aus beliebigen Pfaden. Affected Products:
Source: Gemeldet vom Zoom Security Team |
|||||
|
ZSB-22013 | 08/09/2022 | Eskalation lokaler Berechtigungen im Zoom Rooms für Windows-Client | Critical | CVE-2022-28752 |
Severity: Critical CVSS Score: 8.8 CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Description: Zoom Rooms für Konferenzräume für Windows-Versionen vor 5.11.0 sind aufgrund einer Schwachstelle für die Eskalation lokaler Berechtigungen anfällig. Ein lokaler böswilliger Benutzer mit geringen Berechtigungen kann diese Sicherheitsanfälligkeit ausnutzen, um seine Berechtigungen bis zur Ebene SYSTEM-Benutzer zu eskalieren. Affected Products:
Source: Gemeldet von sim0nsecurity |
|||||
|
ZSB-22012 | 08/09/2022 | Lokale Zoom-Bereitstellungen: Stapelpufferüberlauf in Meeting-Connector | Critical | CVE-2022-28750 |
Severity: Critical CVSS Score: 7.5 CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Description: Der lokale Zoom Meeting-Connector Zone Controller (ZC) vor Version 4.8.20220419.112 analysiert STUN-Fehlercodes nicht ordnungsgemäß, was zu Speicherbeschädigungen führen und es einem böswilligen Akteur ermöglichen kann, die Anwendung zum Absturz zu bringen. In Versionen, die älter als 4.8.12.20211115 sind, kann diese Sicherheitsanfälligkeit auch ausgenutzt werden, um beliebigen Code auszuführen. Affected Products:
Source: Gemeldet vom Zoom Offensive Security Team |
|||||
|
ZSB-22011 | 06/14/2022 | Unzureichende Autorisierungsprüfung bei Meeting-Beitritt | Critical | CVE-2022-28749 |
Severity: Critical CVSS Score: 6.5 CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Description: Der lokale Zoom Meeting-Connector-MMR vor Version 4.8.113.20220526 prüft die Berechtigungen von Zoom Meeting-Teilnehmern nicht ausreichend. Dadurch kann ein böswilliger Akteur im Zoom Warteraum ohne Zustimmung des Hosts am Meeting teilnehmen. Affected Products:
Source: Gemeldet vom Zoom Offensive Security Team |
|||||
|
ZSB- 22010 | 06/14/2022 | DLL-Injektion in Zoom Opener-Installer für Zoom Clients und Zoom Rooms-Geräte | Critical | CVE-2022-22788 |
Severity: Critical CVSS Score: 7.1 CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
Description: Benutzer laden den Zoom Opener-Installer von der Seite „Meeting starten“ herunter, wenn sie versuchen, ohne installierten Zoom Meeting-Client an einem Meeting teilzunehmen. Der Zoom Opener Installer für den Zoom Client for Meetings vor Version 5.10.3 und Zoom Rooms für Konferenzräume für Windows vor Version 5.10.3 ist anfällig für eine DLL-Injektion. Diese Schwachstelle könnte ausgenutzt werden, um beliebigen Code auf dem Host des Opfers auszuführen. Affected Products:
Source: Gemeldet von James Tsz Ko Yeung |
|||||
|
ZSB-22009 | 05/17/2022 | Unzureichende Überprüfung des Hostnamens beim Serverwechsel auf dem Zoom Client for Meetings | Critical | CVE-2022-22787 |
Severity: Critical CVSS Score: 5.9 CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L
Description: Der Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.10.0 kann den Hostnamen bei einer Serverwechselanforderung nicht ordnungsgemäß überprüfen. Dieses Problem könnte in einem komplexen Angriff genutzt werden, um den Client eines arglosen Benutzers bei der Nutzung von Zoom Diensten mit einem manipulierten Server zu verbinden. Affected Products:
Source: Gemeldet von Ivan Fratric von Google Project Zero |
|||||
|
ZSB-22008 | 05/17/2022 | Herabstufung des Updatepakets in Zoom Client for Meetings für Windows | Critical | CVE-2022-22786 |
Severity: Critical CVSS Score: 7.5 CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Description: Der Zoom Client for Meetings für Windows vor Version 5.10.0 und Zoom Rooms für Konferenzräume für Windows vor Version 5.10.0 können die Installationsversion während des Aktualisierungsprozesses nicht ordnungsgemäß prüfen. Dieses Problem könnte in einem komplexen Angriff genutzt werden, um den Zoom Client eines Benutzers auf eine unsicherere Version herabzustufen. Affected Products:
Source: Gemeldet von Ivan Fratric von Google Project Zero |
|||||
|
ZSB-22007 | 05/17/2022 | Nicht ordnungsgemäß eingeschränkte Sitzungscookies in Zoom Client for Meetings | Critical | CVE-2022-22785 |
Severity: Critical CVSS Score: 5.9 CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L
Description: Der Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.10.0 kann Client-Sitzungscookies auf Zoom-Domains nicht ordnungsgemäß beschränken. Dieses Problem könnte in einem komplexen Angriff genutzt werden, um die Zoom-Sitzungscookies eines Benutzers an eine Domain außerhalb von Zoom zu senden. Dies könnte möglicherweise das Spoofing eines Zoom-Benutzers ermöglichen. Affected Products:
Source: Gemeldet von Ivan Fratric von Google Project Zero |
|||||
|
ZSB- 22006 | 05/17/2022 | Fehlerhaftes XML-Parsing in Zoom Client for Meetings | Critical | CVE-2022-22784 |
Severity: Critical CVSS Score: 8.1 CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Description: Der Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.10.0 kann XML-Sätze in XMPP-Nachrichten nicht ordnungsgemäß parsen. Dadurch kann ein böswilliger Benutzer aus dem aktuellen XMPP-Nachrichtenkontext ausbrechen, einen neuen Nachrichtenkontext erstellen und den Client des empfangenden Benutzers zur Ausführung einer Reihe von Aktionen zu zwingen. Dieses Problem könnte in einem komplexen Angriff genutzt werden, um XMPP-Nachrichten vom Server zu fälschen. Affected Products:
Source: Gemeldet von Ivan Fratric von Google Project Zero |
|||||
|
ZSB- 22005 | 04/27/2022 | Verarbeitungsspeicheroffenlegung in lokalen Zoom Meeting-Diensten | Critical | CVE-2022-22783 |
Severity: Critical CVSS Score: 8.3 CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/CR:H
Description: Eine Schwachstelle des lokalen Zoom Meeting-Connector-Controllers der Version 4.8.102.20220310 und des lokalen Meeting-Connectors MMR Version 4.8.102.20220310 legt Fragmente des Verarbeitungsspeichers für verbundene Clients offen, die von einem passiven Angreifer beobachtet werden könnten. Affected Products:
Source: Zoom Offensive Security Team |
|||||
|
ZSB-22004 | 04/27/2022 | Lokale Rechteeskalation in Windows Zoom Clients | Critical | CVE-2022-22782 |
Severity: Critical CVSS Score: 7.9 CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H
Description: Der Versionen des Zoom Client for Meetings für Windows vor Version 5.9.7, des Zoom Rooms für Konferenzräume für Windows vor Version 5.10.0, des Zoom Plugins für Microsoft Outlook für Windows vor Version 5.10.3 und des Zoom VDI Windows Meeting Clients vor Version 5.9.6; waren während der Reparatur des Installationsprogramms anfällig für ein lokales Rechteeskalationsproblem. Ein böswilliger Akteur könnte das ausnutzen, um Dateien oder Ordner auf Systemebene zu löschen, was zu Integritäts- oder Verfügbarkeitsproblemen auf dem Hostcomputer des Benutzers führen könnte. Affected Products:
Source: Gemeldet von der Zero Day Initiative |
|||||
|
ZSB-22003 | 04/27/2022 | Herabstufung des Updatepakets in Zoom Client for Meetings für macOS | Critical | CVE-2022-22781 |
Severity: Critical CVSS Score: 7.5 CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Description: Der Zoom Client for Meetings für macOS (Standard und für IT-Administratoren) vor Version 5.9.6 konnte die Paketversion während des Aktualisierungsvorgangs nicht ordnungsgemäß überprüfen. Dies könnte dazu führen, dass ein böswilliger Akteur die aktuell installierte Version eines ahnungslosen Benutzers auf eine weniger sichere Version aktualisiert. Affected Products:
Source: Gemeldet von Patrick Wardle von Objective-See |
|||||
|
ZSB-22002 | 02/08/2022 | Zoom Team Chat anfällig für Archivbomben | Critical | CVE-2022-22780 |
Severity: Critical CVSS Score: 4.7 CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L
Description: Die Zoom Client for Meetings-Chatfunktion war in den folgenden Produktversionen anfällig für Archivbombenangriffe: Android-Versionen älter als 5.8.6, iOS-Versionen älter als 5.9.0, Linux-Versionen älter als 5.8.6, macOS-Versionen älter als 5.7.3 und Windows-Versionen älter als 5.6.3. Dies konnte zu Verfügbarkeitsproblemen auf dem Client-Host führen, da die Systemressourcen ausgeschöpft wurden. Affected Products:
Source: Gemeldet von Johnny Yu von Walmart Global Tech |
|||||
|
ZSB-22001 | 02/08/2022 | Gespeicherte selbstzerstörte Nachrichten in Keybase Clients für macOS und Windows | Critical | CVE-2022-22779 |
Severity: Critical CVSS Score: 3.7 CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Description: Keybase Clients für macOS und Windows vor Version 5.9.0 konnten von einem Benutzer initiierte selbstzerstörte Nachrichten nicht ordnungsgemäß entfernen. Dies kann auftreten, wenn der empfangende Benutzer zu einer Nicht-Chatfunktion wechselt und den Host in den Ruhemodus versetzt, bevor der Benutzer die Nachrichten zerstören lässt. Dies könnte zur Offenlegung vertraulicher Informationen führen, die eigentlich vom Dateisystem eines Benutzers gelöscht werden sollten. Affected Products:
Source: Gemeldet von Olivia O'Hara |
|||||
|
ZSB-21022 | 12/14/2021 | Ausführung willkürlicher Befehle in Keybase Client für Windows | Critical | CVE-2021-34426 |
Severity: Critical CVSS Score: 5.3 CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
Description: Im Keybase Client für Windows vor Version 5.6.0 wurde eine Schwachstelle entdeckt, als ein Benutzer den Befehl „keybase git lfs-config“ über die Befehlszeile durchgeführt hat. In Versionen vor 5.6.0 konnte ein böswilliger Akteur mit Schreibzugriff auf ein Git-Repository eines Benutzers diese Schwachstelle ausnutzen, um möglicherweise beliebige Windows-Befehle auf dem lokalen System eines Benutzers auszuführen. Affected Products:
Source: Gemeldet von RyotaK |
|||||
|
ZSB-21021 | 12/14/2021 | Server-Side-Request-Forgery im Chat des Zoom Client for Meetings | Critical | CVE-2021-34425 |
Severity: Critical CVSS Score: 4.7 CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N
Description: Der Zoom Client for Meetings enthält vor Version 5.7.3 (für Android, iOS, Linux, macOS und Windows) eine Schwachstelle für Server-Side-Request-Forgery in der Linkvorschau-Funktion des Chats. Wenn ein Benutzer in Versionen vor 5.7.3 die Linkvorschau-Funktion des Chats aktiviert, kann ein böswilliger Akteur den Benutzer dazu verleiten, willkürliche HTTP GET-Anfragen an URLs zu senden, die der Akteur nicht direkt erreichen kann. Affected Products:
Source: Gemeldet von Johnny Yu von Walmart Global Tech |
|||||
|
ZSB-21020 | 11/24/2021 | Prozessspeicheroffenlegung in Zoom Client und anderen Produkten | Critical | CVE-2021-34424 |
Severity: Critical CVSS Score: 5.3 CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Description: Bei den Produkten, die im Abschnitt „Betroffene Produkte“ dieses Bulletins gelistet sind, wurde eine Schwachstelle entdeckt, die möglicherweise die Offenlegung des Prozessspeicherzustands zulässt. Diese Lücke könnte ausgenutzt werden, um möglicherweise Einblick in beliebige Bereiche des Produktspeichers zu erhalten. Affected Products:
Source: Gemeldet von Natalie Silvanovich von Google Project Zero |
|||||
|
ZSB-21019 | 11/24/2021 | Pufferüberlauf in Zoom Client und anderen Produkten | Critical | CVE-2021-34423 |
Severity: Critical CVSS Score: 7.3 CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Description: Bei den Produkten, die im Abschnitt „Betroffene Produkte“ dieses Bulletins gelistet sind, wurde eine Schwachstelle bezüglich Pufferüberlauf entdeckt. Dies kann möglicherweise dazu führen, dass ein böswilliger Akteur den Dienst oder die Anwendung zum Absturz bringt oder diese Schwachstelle ausnutzt, um beliebigen Code auszuführen. Affected Products:
Source: Quelle: Gemeldet von Natalie Silvanovich von Google Project Zero |
|||||
|
ZSB-21018 | 11/09/2021 | Path-Traversal von Dateinamen im Keybase Client für Windows | Critical | CVE-2021-34422 |
Severity: Critical CVSS Score: 7.2 CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
Description: Der Keybase Client für Windows vor Version 5.7.0 enthält eine Path-Traversal-Schwachstelle, wenn der Name einer Datei überprüft wird, die in einen Team-Ordner hochgeladen wurde. Ein böswilliger Benutzer könnte eine Datei in einen freigegebenen Ordner mit einem speziell gestalteten Dateinamen hochladen, der einen Benutzer dazu bringen könnte, eine Anwendung auszuführen, die nicht auf seinem Host-Computer vorgesehen war. Wenn ein böswilliger Benutzer dieses Problem mit der Freigabefunktion für öffentliche Ordner des Keybase Clients ausnutzt, kann dies zu einer Remote-Codeausführung führen. Affected Products:
Source: Gemeldet von m4t35z |
|||||
|
ZSB-21017 | 11/09/2021 | Gespeicherte selbstzerstörte Nachrichten in Keybase Clients für Android und iOS | Critical | CVE-2021-34421 |
Severity: Critical CVSS Score: 3.7 CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Description: Der Keybase Client für Android vor Version 5.8.0 und der Keybase Client für iOS vor Version 5.8.0 können selbstzerstörende Nachrichten nicht ordnungsgemäß entfernen, wenn der empfangende Benutzer die Chatsitzung in den Hintergrund platziert, während der sendende Benutzer die Nachrichten zerstören lässt. Dies könnte zur Offenlegung sensibler Informationen führen, die eigentlich vom Gerät des Kunden gelöscht werden sollten. Affected Products:
Source: Gemeldet von Olivia O'Hara, John Jackson, Jackson Henry und Robert Willis |
|||||
|
ZSB-21016 | 11/09/2021 | Umgehung der Signatur für Windows-Installationsdateien von Zoom | Critical | CVE-2021-34420 |
Severity: Critical CVSS Score: 4.7 CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N
Description: Das Installationsprogramm für den Zoom Client for Meetings für Windows vor Version 5.5.4 überprüft die Signatur von Dateien mit den Erweiterungen .msi, .ps1 und .bat nicht ordnungsgemäß. Dies könnte dazu führen, dass ein böswilliger Akteur Schadsoftware auf dem Computer des Kunden installiert. Affected Products:
Source: Gemeldet von Laurent Delosieres von ManoMano |
|||||
|
ZSB-21015 | 11/09/2021 | HTML-Injektion im Zoom Linux-Client | Critical | CVE-2021-34419 |
Severity: Critical CVSS Score: 3.7 CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
Description: Im Zoom Client for Meetings für Ubuntu Linux vor Version 5.1.0 liegt beim Senden einer Remote-Steuerungsanforderung an einen Benutzer im Prozess der Bildschirmfreigabe im Meeting ein HTML-Injektionsfehler vor. Auf diese Weise könnten Meeting-Teilnehmer zum Ziel von Social-Engineering-Angriffen werden. Affected Products:
Source: Gemeldet von Danny de Weille und Rick Verdoes von hackdefense |
|||||
|
ZSB-21014 | 11/09/2021 | Nullzeiger-Absturz vor Authentifizierung in der lokalen Webkonsole | Critical | CVE-2021-34418 |
Severity: Critical CVSS Score: 4.0 CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L Description: Bei den Produkten, die im Abschnitt „Betroffene Produkte“ dieses Bulletins gelistet sind, scheitert der Anmeldedienst der Webkonsole bei der Validierung des während der Authentifizierung gesendeten NULL-Bytes. Dies könnte zu einem Absturz des Anmeldedienstes führen. Affected Products:
Source: Gemeldet von Jeremy Brown |
|||||
|
ZSB-21013 | 11/09/2021 | Authentifizierte Remote-Befehlsausführung mit Root-Rechten über die Webkonsole in MMR | Critical | CVE-2021-34417 |
Severity: Critical CVSS Score: 7.9 CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N Description: Bei den Produkten, die im Abschnitt „Betroffene Produkte“ dieses Bulletins gelistet sind, scheitert die Netzwerk-Proxy-Seite im Web Portal bei der Validierung der Eingabe bei Anfragen für das Festlegen des Netzwerk-Proxy-Passworts. Dies könnte zu einer Remote-Befehlsinjektion durch einen Administrator des Web Portals führen. Affected Products:
Source: Gemeldet von Jeremy Brown |
|||||
|
ZSB-21012 | 09/30/2021 | Remote-Codeausführung für lokale Images über das Web Portal | Critical | CVE-2021-34416 |
Severity: Critical CVSS Score: 5.5 CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N Description: Das Web Portal für administrative Netzwerkadressen-Einstellungen für den lokalen Zoom Meeting Connector vor Version 4.6.360.20210325, die lokale Zoom Meeting-Connector MMR vor Version 4.6.360.20210325, den lokalen Zoom Aufzeichnungs-Connector vor Version 3.8.44.20210326, den lokalen virtuellen Zoom Raum-Connector vor Version 4.4.6752.20210326 und den lokalen virtuellen Zoom Raum-Connector Load Balancer vor Version 2.5.5495.20210326 können Eingaben, die in Anforderungen zur Aktualisierung der Netzwerkkonfiguration gesendet wurden, nicht validieren. Dies kann zu einer Remote-Befehlsinjektion für das lokale Image durch die Administratoren des Web Portals führen. Affected Products:
Source: Gemeldet von Egor Dimitrenko von Positive Technologies |
|||||
|
ZSB-21011 | 09/30/2021 | ZC-Absturz mit PDU, der viele Zuordnungen verursacht | Critical | CVE-2021-34415 |
Severity: Critical CVSS Score: 7.5 CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H Description: Der Zone Controller-Dienst im lokalen Zoom Meeting-Connector-Controller vor Version 4.6.358.20210205 überprüft das in eingehenden Netzwerkpaketen gesendete cnt-Feld nicht, was zur Erschöpfung der Ressourcen und zum Systemabsturz führt. Affected Products:
Source: Gemeldet von Nikita Abramov von Positive Technologies |
|||||
|
ZSB-21010 | 09/30/2021 | Remote-Codeausführung für Meeting-Connector-Server über Web Portal-Netzwerk-Proxy-Konfiguration | Critical | CVE-2021-34414 |
Severity: Critical CVSS Score: 7.2 CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H Description: Die Netzwerk-Proxy-Seite im Web Portal für den lokalen Zoom Meeting-Connector-Controller vor Version 4.6.348.20201217, die lokale Zoom Meeting-Connector MMR vor Version 4.6.348.20201217, den lokalen Zoom Aufzeichnungs-Connector vor Version 3.8.42.20200905, den lokalen virtuellen Zoom Raum-Connector vor Version 4.4.6620.20201110 und den lokalen virtuellen Zoom Raum-Connector Load Balancer vor Version 2.5.5495.20210326 kann Eingaben, die in Anforderungen zur Aktualisierung der Netzwerk-Proxy-Konfiguration gesendet wurden, nicht validieren. Dies kann zu einer Remote-Befehlsinjektion für das lokale Image durch einen Administrator des Web Portals führen. Affected Products:
Source: Gemeldet von Egor Dimitrenko von Positive Technologies |
|||||
|
ZSB-21009 | 09/30/2021 | Zoom macOS Outlook Plug-in-Installer – lokale Rechteeskalation | Critical | CVE-2021-34413 |
Severity: Critical CVSS Score: 2.8 CVSS Vector String: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N Description: Alle Versionen des Zoom-Plug-ins für Microsoft Outlook für macOS vor 5.3.52553.0918 enthalten eine Time-of-Check-Time-of-Use-Schwachstelle (TOC/TOU) während der Plug-in-Installation. Dies könnte es einem Standardbenutzer ermöglichen, seine eigene bösartige Anwendung in das Plug-in-Verzeichnis zu schreiben, sodass die bösartige Anwendung in einem privilegierten Kontext ausgeführt werden kann. Affected Products:
Source: Gemeldet vom Lockheed Martin Red Team |
|||||
|
ZSB-21008 | 09/30/2021 | Zoom für Windows-Installer – lokale Rechteeskalation | Critical | CVE-2021-34412 |
Severity: Critical CVSS Score: 4.4 CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Description: Während der Installation für alle Versionen des Zoom Client for Meetings für Windows vor 5.4.0 ist es möglich, den Internet Explorer zu starten. Wenn das Installationsprogramm mit erhöhten Rechten gestartet wurde, z. B. durch SCCM, kann dies zu einer lokalen Rechteeskalation führen. Affected Products:
Source: Gemeldet vom Lockheed Martin Red Team |
|||||
|
ZSB-21007 | 09/30/2021 | Zoom Rooms-Installer – lokale Rechteeskalation | Critical | CVE-2021-34411 |
Severity: Critical CVSS Score: 4.4 CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Description: Während der Installation für Zoom Rooms für Konferenzräume für Windows vor Version 5.3.0 ist es möglich, den Internet Explorer mit erhöhten Rechten zu starten. Wenn das Installationsprogramm mit erhöhten Rechten gestartet wurde, z. B. durch SCCM, kann dies zu einer lokalen Rechteeskalation führen. Affected Products:
Source: Gemeldet vom Lockheed Martin Red Team |
|||||
|
ZSB-21004 | 09/30/2021 | Zoom MSI-Installer – erhöhter Schreibzugriff mit einer Junction | Critical | CVE-2021-34408 |
Severity: Critical CVSS Score: 7.0 CVSS Vector String: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Description: Ein vom Benutzer beschreibbares Verzeichnis, das während der Installation einer Version des Zoom Client for Meetings für Windows vor Version 5.3.2 erstellt wurde, kann über eine Junction an einen anderen Speicherort umgeleitet werden. Dadurch könnte ein Angreifer Dateien überschreiben, die ein eingeschränkter Benutzer andernfalls nicht ändern könnte. Affected Products:
Source: Gemeldet vom Lockheed Martin Red Team |
|||||
|
ZSB-21003 | 09/30/2021 | Umgehung digitaler Signaturen im Zoom Installer für Windows | Critical | CVE-2021-33907 |
Severity: Critical CVSS Score: 7.0 CVSS Vector String: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H/MPR:N/MUI:R/MS:U/MC:H/MI:H/MA:H
Description: Der Zoom Client für Meetings für Windows in allen Versionen vor 5.3.0 kann die Zertifikatinformationen, die zum Signieren von .msi-Dateien verwendet werden, nicht ordnungsgemäß überprüfen, wenn ein Update des Clients durchgeführt wird. Dies kann zur Remote-Codeausführung mit erhöhten Berechtigungen führen. Affected Products:
Source: Gemeldet vom Lockheed Martin Red Team |
|||||
|
ZSB-21002 | 08/13/2021 | Heap-Überlauf wegen ungeprüftem Schreibvorgang in statischen Puffer durch XMPP-Nachricht | Critical | CVE-2021-30480 |
Severity: Critical CVSS Score: 8.1 CVSS Vector String: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H
Description: In allen Desktop-Versionen von Zoom Client for Meetings vor Version 5.6.3 kommt es zu einem Heap-basierten Pufferüberlauf. Dieses Problem wurde Zoom im Rahmen der Pwn20wn 2021 in Vancouver gemeldet. Die auf der Pwn20wn demonstrierte Angriffskette wurde am 9. April 2021 durch eine serverseitige Änderung an der Infrastruktur von Zoom neutralisiert. Affected Products:
Source: Gemeldet von Daan Keuper und Thijs Alkemade von Computest über die Zero Day Initiative. |
|||||
|
ZSB-21001 | 03/26/2021 | Funktion für die Bildschirmfreigabe in Anwendungsfenstern | Critical | CVE-2021-28133 |
Severity: Critical CVSS Score: 5,7 CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N
Description: Die Bildschirmfreigabefunktion des Zoom-Clients für Windows und Linux war von einer Schwachstelle betroffen, die während der Freigabe einzelner Anwendungsfenster auftrat. Dabei waren Bildschirminhalte von Anwendungen, die nicht explizit von den Benutzern der Bildschirmfreigabe freigegeben wurden, möglicherweise kurze Zeit für andere Meeting-Teilnehmer sichtbar, wenn die freigebende Person ein anderes Fenster minimierte, maximierte oder schloss. Affected Products:
Source: Entdeckt von Michael Stramez und Matthias Deeg. |
|||||
|
ZSB-20002 | 08/14/2020 | Windows DLL im Zoom Sharing Service | Critical | CVE-2020-9767 |
Severity: Critical CVSS Score: 7.8 CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Description: Eine Schwachstelle im Zusammenhang mit dem Laden der Dynamic-Link Library („DLL“) im Zoom Sharing Service könnte es einem lokalen Windows-Benutzer ermöglichen, seine Berechtigungen auf die des NT AUTHORITY/SYSTEM-Benutzers zu eskalieren. Affected Products:
Source: Connor Scott von Context Information Security |
|||||
|
ZSB-20001 | 05/04/2020 | Zoom-IT-Installer für Windows | Critical | CVE-2020-11443 |
Severity: Critical CVSS Score: Basis: 8,4 CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H
Description: Eine Schwachstelle, die sich daraus ergibt, wie der Zoom Windows-Installer beim Löschen von Dateien Abzweigungen verarbeitet, könnte es einem lokalen Windows-Benutzer ermöglichen, Dateien zu löschen, die vom Benutzer sonst nicht gelöscht werden können. Affected Products:
Source: Danke an das Lockheed Martin Red Team. |
|||||
|
ZSB-19003 | 07/12/2019 | ZoomOpener-Daemon | Critical | CVE-2019-13567 |
Severity: Critical CVSS Score: Basis: 7,5 CVSS Vector String: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Description: Eine Schwachstelle im Zoom-Client für macOS könnte es einem Angreifer ermöglichen, Schadsoftware auf das Gerät eines Opfers herunterzuladen. Affected Products:
Source: Unbekannt. |
|||||
|
ZSB-19002 | 07/09/2019 | Standard-Videoeinstellung | Critical | CVE-2019-13450 |
Severity: Critical CVSS Score: Basis: 3,1 CVSS Vector String: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
Description: Eine Schwachstelle im Zoom- und RingCentral-Client für macOS könnte es einem nicht authentifizierten Remote-Angreifer ermöglichen, einen Benutzer zum Beitritt zu einem Videoanruf mit eingeschalteter Kamera zu zwingen. Affected Products:
Source: Entdeckt von Jonathan Leitschuh. |
|||||
|
ZSB-19001 | 07/09/2019 | Denial-of-Service-Angriff –macOS | Critical | CVE-2019-13449 |
Severity: Critical CVSS Score: Basis: 3,1 CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Description: Eine Schwachstelle im Zoom-Client für macOS könnte es einem nicht authentifizierten Remote-Angreifer ermöglichen, auf dem System eines Opfers eine Denial-of-Service-Bedingung auszulösen. Affected Products:
Source: Entdeckt von Jonathan Leitschuh. |
|||||
No results found |
Bitte geben Sie Ihre persönliche E-Mail-Adresse an, um Benachrichtigungen zu zukünftigen Zoom Sicherheitsmeldungen zu erhalten. (Hinweis: E-Mail-Aliase erhalten diese Benachrichtigungen nicht.)