Bulletins de sécurité
Bulletins de sécurité
Zoom ne donne aux clients aucune directive individuelle concernant les conséquences des vulnérabilités signalées dans un bulletin de sécurité Zoom, ni de détails supplémentaires sur les vulnérabilités. Nous recommandons aux utilisateurs d’installer la dernière version du logiciel Zoom pour bénéficier des correctifs et des améliorations de sécurité.
| ZSB | Date | Titre | Gravité | CVE (si applicable) | |
|---|---|---|---|---|---|
|
|
ZSB-23041 | 08/08/2023 | Client de bureau Zoom pour Windows - Validation inappropriée de la saisie | Moyenne | CVE-2023-39209 |
|
Gravité: Medium Score CVSS: 5.9 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L
Description: Une validation de saisie inappropriée dans les versions du client de bureau Zoom pour Windows antérieures à 5.15.5 peut permettre à un utilisateur authentifié de divulguer des informations via un accès réseau. Produits concernés:
Source: Signalé par l’Équipe de sécurité offensive Zoom. |
|||||
|
|
ZSB-23039 | 08/08/2023 | SDK du client Zoom - Exposition d’informations sensibles | Élevée | CVE-2023-39214 |
|
Gravité: High Score CVSS: 7.6 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H
Description: Une exposition d’informations sensibles dans les versions du SDK du client Zoom antérieures à 5.15.5 peut permettre à un utilisateur authentifié d’effectuer un déni de service via un accès réseau. Produits concernés:
Source: Signalé par l’Équipe de sécurité offensive Zoom. |
|||||
|
|
ZSB-23038 | 08/08/2023 | Client de bureau Zoom pour Windows et client Zoom VDI - Neutralisation inappropriée des éléments spéciaux | Critique | CVE-2023-39213 |
|
Gravité: Critical Score CVSS: 9.6 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Description: Une neutralisation inappropriée des éléments spéciaux des versions du client de bureau Zoom pour Windows et du client Zoom VDI antérieures à 5.15.2 peut permettre à un utilisateur non authentifié de bénéficier de privilèges supérieurs via un accès réseau. Produits concernés:
Source: Signalé par l’Équipe de sécurité offensive Zoom. |
|||||
|
|
ZSB-23037 | 08/08/2023 | Zoom Rooms pour Windows - Chemin de recherche non reconnu | Élevée | CVE-2023-39212 |
|
Gravité: High Score CVSS: 7.9 Chaîne vectorielle CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H
Description: Un chemin de recherche non reconnu dans les versions de Zoom Rooms pour Windows antérieures à 5.15.5 peut permettre à un utilisateur authentifié d’effectuer un déni de service via un accès local. Produits concernés:
Source: Signalé par sim0nsecurity. |
|||||
|
|
ZSB-23036 | 08/08/2023 | Client de bureau Zoom pour Windows et Zoom Rooms pour Windows - Gestion inappropriée des privilèges | Élevée | CVE-2023-39211 |
|
Gravité: High Score CVSS: 8.8 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Description: Une gestion inappropriée des privilèges dans les versions du client de bureau Zoom pour Windows et de Zoom Rooms pour Windows antérieures à 5.15.5 peut permettre à un utilisateur authentifié de divulguer des informations via un accès local. Produits concernés:
Source: Signalé par sim0nsecurity. |
|||||
|
|
ZSB-23035 | 08/08/2023 | SDK du client Zoom pour Windows - Stockage des informations sensibles en texte clair | Moyenne | CVE-2023-39210 |
|
Gravité: Medium Score CVSS: 5.5 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Description: Le stockage d’informations sensibles en texte clair dans les versions du SDK du client Zoom pour Windows antérieures à 5.15.0 peut permettre à un utilisateur authentifié de divulguer des informations via un accès local. Produits concernés:
Source: Signalé par sim0nsecurity. |
|||||
|
|
ZSB-23034 | 08/08/2023 | Clients Zoom - Application côté client de la sécurité côté serveur | Moyenne | CVE-2023-39218 |
|
Gravité: Medium Score CVSS: 6.5 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
Description: L’application côté client de la sécurité côté serveur dans les versions des clients Zoom antérieures à 5.14.10 peut permettre à un utilisateur doté de privilège de divulguer des informations via un accès réseau. Produits concernés:
Source: Signalé par l’Équipe de sécurité offensive Zoom. |
|||||
|
|
ZSB-23033 | 08/08/2023 | SDK Zoom - Validation inappropriée de la saisie | Moyenne | CVE-2023-39217 |
|
Gravité: Moyenne Score CVSS: 5.3 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Description: Une validation inappropriée de la saisie dans les versions du SDK Zoom antérieures à 5.14.10 peut permettre à un utilisateur non authentifié d’effectuer un déni de service via un accès réseau. Produits concernés:
Source: Signalé par l’Équipe de sécurité offensive Zoom. |
|||||
|
|
ZSB-23032 | 08/08/2023 | Client de bureau Zoom pour Windows - Validation inappropriée de la saisie | Critique | CVE-2023-39216 |
|
Gravité: Critique Score CVSS: 9.6 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Description: Une validation de saisie inappropriée dans les versions du client de bureau Zoom pour Windows antérieures à 5.14.7 peut permettre à un utilisateur non authentifié de bénéficier de privilèges supérieurs via un accès réseau. Produits concernés:
Source: Signalé par l’Équipe de sécurité offensive Zoom. |
|||||
|
|
ZSB-23031 | 08/08/2023 | Clients Zoom - Application côté client de la sécurité côté serveur | Haute | CVE-2023-36535 |
|
Gravité: Haute Score CVSS: 7.1 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L
Description: L’application côté client de la sécurité côté serveur dans les versions des clients Zoom antérieures à 5.14.10 peut permettre à un utilisateur authentifié de divulguer des informations via un accès réseau. Produits concernés:
Source: Signalé par l’Équipe de sécurité offensive Zoom. |
|||||
|
|
ZSB-23030 | 08/08/2023 | Client de bureau Zoom pour Windows - Balayage du chemin d’accès | Critique | CVE-2023-36534 |
|
Gravité: Critique Score CVSS: 9.3 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H
Description: Un balayage du chemin d’accès dans les versions du client de bureau Zoom pour Windows antérieures à 5.14.7 peut permettre à un utilisateur non authentifié de bénéficier de privilèges supérieurs via un accès réseau. Produits concernés:
Source: Signalé par l’Équipe de sécurité offensive Zoom. |
|||||
|
|
ZSB-23029 | 08/08/2023 | SDK Zoom - Utilisation incontrôlée des ressources | Haute | CVE-2023-36533 |
|
Gravité: Haute Score CVSS: 7.1 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H
Description: Une utilisation incontrôlée des ressources dans les versions du SDK Zoom antérieures à 5.14.7 peut permettre à un utilisateur non authentifié d’effectuer un déni de service via un accès réseau. Produits concernés:
Source: Signalé par l’Équipe de sécurité offensive Zoom. |
|||||
|
|
ZSB-23028 | 08/08/2023 | Clients Zoom - Débordement de la mémoire tampon | Moyenne | CVE-2023-36532 |
|
Gravité: Moyenne Score CVSS: 5.9 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Description: Un débordement de la mémoire tampon dans les versions des clients Zoom antérieures à 5.14.5 peut permettre à un utilisateur non authentifié d’effectuer un déni de service via un accès réseau. Produits concernés:
Source: Signalé par l’Équipe de sécurité offensive Zoom. |
|||||
|
|
ZSB-23027 | 08/08/2023 | Client de bureau Zoom pour Windows - Vérification insuffisante de l’authenticité des données | Haute | CVE-2023-36541 |
|
Gravité: Haute Score CVSS: 8 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Description: Une vérification insuffisante de l’authenticité des données dans les clients de bureau Zoom pour Windows antérieurs à 5.14.5 peut permettre à un utilisateur authentifié de bénéficier de privilèges supérieurs via un accès réseau. Produits concernés:
Source: Signalé par sim0nsecurity. |
|||||
|
|
ZSB-23026 | 08/08/2023 | Le client de bureau Zoom pour Windows - Chemin de recherche non approuvé | Haute | CVE-2023-36540 |
|
Gravité: Haute Score CVSS: 7.3 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L
Description: Un chemin de recherche non approuvé dans le programme d’installation des versions du client de bureau Zoom pour Windows antérieures à 5.14.5 peut permettre à un utilisateur authentifié de bénéficier de privilèges supérieurs via un accès local. Produits concernés:
Source: Signalé par sim0nsecurity. |
|||||
|
|
ZSB-23024 | 07/11/2023 | Contrôle des accès inapproprié | Haute | CVE-2023-36538 |
|
Gravité: Haute Score CVSS: 8.4 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H
Description: Un contrôle des accès inapproprié dans les versions de Zoom Rooms pour Windows antérieures à 5.15.0 peut permettre à un utilisateur authentifié de bénéficier de privilèges supérieurs via un accès local. Produits concernés:
Source: Signalé par sim0nsecurity. |
|||||
|
|
ZSB-23023 | 07/11/2023 | Gestion incorrecte des privilèges | Haute | CVE-2023-36537 |
|
Gravité: Haute Score CVSS: 7.3 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L
Description: Une gestion inappropriée des privilèges dans les versions de Zoom Rooms pour Windows antérieures à 5.14.5 peut permettre à un utilisateur authentifié de bénéficier de privilèges supérieurs via un accès local. Produits concernés:
Source: Signalé par sim0nsecurity. |
|||||
|
|
ZSB-23022 | 07/11/2023 | Chemin de recherche non approuvé | Haute | CVE-2023-36536 |
|
Gravité: Haute Score CVSS: 8.2 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
Description: Un chemin de recherche non approuvé dans le programme d’installation des versions de Zoom Rooms pour Windows antérieures à 5.15.0 peut permettre à un utilisateur authentifié de bénéficier de privilèges supérieurs via un accès local. Produits concernés:
Source: Signalé par sim0nsecurity. |
|||||
|
|
ZSB-23021 | 07/11/2023 | Fichier temporaire non sécurisé | Haute | CVE-2023-34119 |
|
Gravité: Haute Score CVSS: 8.2 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
Description: Un fichier temporaire non sécurisé dans le programme d’installation des versions de Zoom Rooms pour Windows antérieures à 5.15.0 peut permettre à un utilisateur authentifié de bénéficier de privilèges supérieurs via un accès local. Produits concernés:
Source: Signalé par sim0nsecurity. |
|||||
|
|
ZSB-23020 | 07/11/2023 | Gestion incorrecte des privilèges | Haute | CVE-2023-34118 |
|
Gravité: Haute Score CVSS: 7.3 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L
Description: Une gestion inappropriée des privilèges dans les versions de Zoom Rooms pour Windows antérieures à 5.14.5 peut permettre à un utilisateur authentifié de bénéficier de privilèges supérieurs via un accès local. Produits concernés:
Source: Signalé par sim0nsecurity. |
|||||
|
|
ZSB-23019 | 07/11/2023 | Balayage du chemin d’accès relatif | Faible | CVE-2023-34117 |
|
Gravité: Faible Score CVSS: 3.3 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Description: Le balayage du chemin d’accès relatif dans les versions du SDK du client Zoom antérieures à 5.15.0 peut permettre à un utilisateur non authentifié de divulguer des informations via un accès local. Produits concernés:
Source: Signalé par Dimitrios Valsamaras de Microsoft. |
|||||
|
|
ZSB-23018 | 07/11/2023 | Validation inappropriée de la saisie | Haute | CVE-2023-34116 |
|
Gravité: Haute Score CVSS: 8.2 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:H
Description: Une validation de saisie inappropriée dans les versions du client de bureau Zoom pour Windows antérieures à 5.15.0 peut permettre à un utilisateur non authentifié de bénéficier de privilèges supérieurs via un accès réseau. Produits concernés:
Source: Signalé par sim0nsecurity. |
|||||
|
|
ZSB-23025 | 06/29/2023 | Exposition d’informations sensibles | Moyenne | CVE-2023-36539 |
|
Gravité: Moyenne Score CVSS: 5.3 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N
Description: Des informations censées être chiffrées par certains clients Zoom ont été exposées et ont pu entraîner la divulgation d’informations sensibles. Produits concernés:
Source: Signalé par l’Équipe de sécurité offensive Zoom. |
|||||
|
|
ZSB-23017 | 06/13/2023 | Copie de la mémoire tampon sans vérification du volume de données | Moyenne | CVE-2023-34115 |
|
Gravité: Moyenne Score CVSS: 4.0 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Description: Dans Zoom Meeting SDK antérieur à la version 5.13.0, effectuer une copie de la mémoire tampon sans vérifier le volume de données peut permettre à un utilisateur authentifié de créer un déni de service par un accès local. Ce problème risque d’entraîner le plantage de Zoom Meeting SDK qui doit alors redémarrer. Produits concernés:
Source: Signalé par Eugene Lim |
|||||
|
|
ZSB-23016 | 06/13/2023 | Diffusion de ressources dans la mauvaise sphère | Moyenne | CVE-2023-34114 |
|
Gravité: Moyenne Score CVSS: 4.3 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N
Description: Diffuser des ressources dans la mauvaise sphère sur les clients Zoom for Windows et Zoom for macOS antérieurs à 5.14.10 peut permettre à un utilisateur authentifié de divulguer des informations via un accès réseau. Produits concernés:
Source: Signalé par Siddhi Katariya (chikorita) |
|||||
|
|
ZSB-23015 | 06/13/2023 | Vérification insuffisante de l’authenticité des données | Haute | CVE-2023-34113 |
|
Gravité: Haute Score CVSS: 8 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Description: Une vérification insuffisante de l’authenticité des données dans les clients Zoom for Windows antérieurs à 5.14.0 peut permettre à un utilisateur authentifié de bénéficier de privilèges supérieurs via un accès réseau. Produits concernés:
Source: Signalé par sim0nsecurity |
|||||
|
|
ZSB-23014 | 06/13/2023 | Validation inappropriée de la saisie | Haute | CVE-2023-34122 |
|
Gravité: Haute Score CVSS: 7.3 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L
Description: Une validation inappropriée de la saisie dans le programme d’installation des clients Zoom for Windows antérieurs à 5.14.0 peut permettre à un utilisateur authentifié de bénéficier de privilèges supérieurs via un accès local. Produits concernés:
Source: Signalé par sim0nsecurity |
|||||
|
|
ZSB-23013 | 06/13/2023 | Validation inappropriée de la saisie | Moyenne | CVE-2023-34121 |
|
Gravité: Moyenne Score CVSS: 4.9 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N
Description: Une validation inappropriée de la saisie dans les clients Zoom for Windows, Zoom Rooms et Zoom VDI Windows Meeting antérieurs à 5.14.0 peut permettre à un utilisateur authentifié de bénéficier de privilèges supérieurs via un accès réseau. Produits concernés:
Source: Signalé par Mohit Rawat - ASPIA InfoTech |
|||||
|
|
ZSB-23012 | 06/13/2023 | Gestion incorrecte des privilèges | Haute | CVE-2023-34120 |
|
Gravité: Haute Score CVSS: 8.7 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L
Description: Une gestion incorrecte des privilèges dans les clients Zoom for Windows, Zoom Rooms pour Windows et Zoom VDI pour Windows antérieurs à 5.14.0 peut permettre à un utilisateur authentifié de bénéficier de privilèges supérieurs via un accès local. Les utilisateurs risquent de lancer des processus en utilisant des privilèges système de niveau supérieur conservés par le client Zoom. Produits concernés:
Source: Signalé par sim0nsecurity |
|||||
|
|
ZSB-23011 | 06/13/2023 | Contrôle des accès inapproprié dans le programme d’installation du client Zoom VDI | Haute | CVE-2023-28603 |
|
Gravité: Haute Score CVSS: 7.7 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:L
Description: Le programme d’installation du client Zoom VDI antérieur à 5.14.0 présente une vulnérabilité liée à un contrôle des accès inapproprié. Un utilisateur malveillant pourrait supprimer des fichiers en local sans autorisation. Produits concernés:
Source: Signalé par sim0nsecurity |
|||||
|
|
ZSB-23010 | 06/13/2023 | Vérification incorrecte de la signature cryptographique dans les clients Zoom | Faible | CVE-2023-28602 |
|
Gravité: Faible Score CVSS: 2.8 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N
Description: Les clients Zoom for Windows antérieurs à 5.13.5 présentent une vulnérabilité liée à une vérification incorrecte de la signature cryptographique. Un utilisateur malveillant pourrait rétrograder des composants du client Zoom à des versions précédentes. Produits concernés:
Source: Signalé par Kirin (Pwnrin) |
|||||
|
|
ZSB-23009 | 06/13/2023 | Restriction inappropriée du fonctionnement liée à la mémoire tampon dans les clients Zoom | Faible | CVE-2023-28601 |
|
Gravité: Faible Score CVSS: 2 Chaîne vectorielle CVSS: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Description: Dans les clients Zoom for Windows antérieurs à 5.14.0, certaines fonctionnalités se trouvent restreintes en raison d’une vulnérabilité au niveau de la mémoire tampon. Un utilisateur malveillant pourrait modifier la mémoire tampon protégée du client Zoom causant ainsi des problèmes d’intégrité. Produits concernés:
Source: Signalé par sim0nsecurity |
|||||
|
|
ZSB-23008 | 06/13/2023 | Contrôle des accès inapproprié dans les clients Zoom | Moyenne | CVE-2023-28600 |
|
Gravité: Moyenne Score CVSS: 6.6 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:L
Description: Les clients Zoom for macOS antérieurs à 5.14.0 présentent une vulnérabilité liée à un contrôle des accès inapproprié. Un utilisateur malveillant serait en mesure de supprimer/remplacer des fichiers du client Zoom causant ainsi des problèmes d’intégrité et de disponibilité. Produits concernés:
Source: Signalé par Koh M. Nakagawa (@tsunek0h) |
|||||
|
|
ZSB-23007 | 06/13/2023 | Vulnérabilité liée à une injection HTML dans les clients Zoom | Moyenne | CVE-2023-28599 |
|
Gravité: Moyenne Score CVSS: 4.2 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N
Description: Les clients Zoom antérieurs à 5.13.10 présentent une vulnérabilité liée à une injection HTML. Un utilisateur malveillant serait en mesure d’injecter du code HTML dans son nom d’affichage afin de rediriger une victime vers un site pirate lors de la création d’une réunion. Produits concernés:
Source: Signalé par Mohit Rawat - ASPIA InfoTech |
|||||
|
|
ZSB-23006 | 06/13/2023 | Injection HTML dans les clients Zoom for Linux | Haute | CVE-2023-28598 |
|
Gravité: Haute Score CVSS: 7.5 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Description: Les clients Zoom for Linux antérieurs à 5.13.10 présentent une vulnérabilité liée à une injection HTML. Le lancement d’une discussion avec un utilisateur malveillant dans le chat pourrait causer un plantage de l’application Zoom. Produits concernés:
Source: Signalé par Antoine Roly (aroly) |
|||||
|
|
ZSB-23005 | 03/14/2023 | Mise en œuvre incorrecte des limites de confiance pour SMB dans les clients Zoom [Updated 2023-04-07] | Haute | CVE-2023-28597 |
|
Gravité: Haute Score CVSS: 8.3 Chaîne vectorielle CVSS: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Description: Les clients Zoom antérieurs à la version 5.13.5 présentent une vulnérabilité liée à la mise en œuvre des limites de confiance. Si une victime enregistre un enregistrement local dans un emplacement SMB, puis qu’elle l’ouvre ultérieurement à l’aide d’un lien à partir du portail Web Zoom, un attaquant peut, à partir d’un réseau adjacent au client victime, configurer un serveur SMB malveillant pour répondre aux demandes du client ; celui-ci pourrait alors exécuter des exécutables contrôlés par l’attaquant. L’attaquant aurait ainsi accès à l’appareil et aux données d’un utilisateur, et pourrait exécuter du code à distance. Produits concernés:
Source: Signalé par l’Équipe de sécurité offensive Zoom |
|||||
|
|
ZSB-23004 | 03/14/2023 | Élévation locale de privilèges dans les programmes d’installation de Zoom pour macOS | Moyenne | CVE-2023-28596 |
|
Gravité: Moyenne Score CVSS: 5.2 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L
Description: Les programmes d’installation du client Zoom pour administrateurs informatiques pour macOS antérieurs à la version 5.13.5 présentent une vulnérabilité entraînant l’élévation locale de privilèges. Un utilisateur local à faibles privilèges pourrait exploiter cette vulnérabilité dans une chaîne d’attaque lors du processus d’installation pour disposer des privilèges d’un utilisateur racine. Produits concernés:
Source: Signalé par Koh M. Nakagawa (tsunekoh) |
|||||
|
|
ZSB-23003 | 03/14/2023 | Élévation locale de privilèges dans les programmes d’installation de Zoom pour Windows | Haute | CVE-2023-22883 |
|
Gravité: Haute Score CVSS: 7.2 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:N/I:H/A:H
Description: Les programmes d’installation du client Zoom pour administrateurs informatiques pour Windows antérieurs à la version 5.13.5 présentent une vulnérabilité entraînant l’élévation locale de privilèges. Un utilisateur local à faibles privilèges pourrait exploiter cette vulnérabilité dans une chaîne d’attaque lors du processus d’installation pour élever ses privilèges à ceux d’un utilisateur SYSTEM. Produits concernés:
Source: Signalé par sim0nsecurity |
|||||
|
|
ZSB-23002 | 03/14/2023 | Déni de service dans les clients Zoom | Moyenne |
CVE-2023-22881 CVE-2023-22882 |
|
Gravité: Moyenne Score CVSS: 6.5 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Description: Les clients Zoom antérieurs à la version 5.13.5 présentent une vulnérabilité liée à l’analyse STUN. Une personne malveillante pourrait diriger du trafic UDP élaboré à cet effet, vers un client Zoom victime pour provoquer à distance l’arrêt de celui-ci, entraînant un déni de service. Produits concernés:
Source: Signalé par l’Équipe de sécurité offensive Zoom |
|||||
|
|
ZSB-23001 | 03/14/2023 | Divulgation d’informations dans les clients Zoom for Windows | Moyenne | CVE-2023-22880 |
|
Gravité: Moyenne Score CVSS: 6.8 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N
Description: Les clients Zoom for Windows antérieurs à la version 5.13.3, les clients Zoom Rooms for Windows antérieurs à la version 5.13.5 et les clients Zoom VDI for Windows antérieurs à la version 5.13.1 présentent une vulnérabilité liée à la divulgation d’informations. Une mise à jour récente de Microsoft Edge WebView2 Runtime utilisé par les clients Zoom concernés, transmettait le texte au service de vérification orthographique en ligne de Microsoft, au lieu du vérificateur d’orthographe Windows local. La mise à jour de Zoom élimine cette vulnérabilité en désactivant la fonction. Mettre à jour Microsoft Edge WebView2 Runtime vers la version 109.0.1481.0 au minimum et redémarrer Zoom élimine cette vulnérabilité en mettant à jour les paramètres de télémétrie de Microsoft. Produits concernés:
Source: Signalé par l’Équipe de sécurité de Zoom |
|||||
|
|
ZSB-22035 | 01/06/2023 | Élévation locale de privilèges dans les programmes d’installation de Zoom Rooms for Windows | Haute | CVE-2022-36930 |
|
Gravité: Haute Score CVSS: 8.2 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
Description: Les programmes d’installation de Zoom Rooms for Windows antérieurs à la version 5.13.0 présentent une vulnérabilité entraînant l’élévation locale de privilèges. Un utilisateur local à faibles privilèges pourrait exploiter cette vulnérabilité dans une chaîne d’attaque pour élever ses privilèges à ceux d’un utilisateur SYSTEM. Produits concernés:
Source: Signalé par sim0nsecurity |
|||||
|
|
ZSB-22034 | 01/06/2023 | Élévation locale de privilèges dans les clients Zoom Rooms for Windows | Haute | CVE-2022-36929 |
|
Gravité: Haute Score CVSS: 7.8 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Description: Les clients Zoom Rooms for Windows antérieurs à la version 5.12.7 présentent une vulnérabilité entraînant l’élévation locale de privilèges. Un utilisateur local à faibles privilèges pourrait exploiter cette vulnérabilité dans une chaîne d’attaque pour élever ses privilèges à ceux d’un utilisateur SYSTEM. Produits concernés:
Source: Signalé par sim0nsecurity |
|||||
|
|
ZSB-22033 | 01/06/2023 | Traversée de chemins d’accès dans les clients Zoom for Android | Moyenne | CVE-2022-36928 |
|
Gravité: Moyenne Score CVSS: 6.1 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
Description: Les clients Zoom for Android antérieurs à la version 5.13.0 présentent une vulnérabilité liée à la traversée des chemins d’accès. Une application tierce pourrait exploiter cette vulnérabilité pour effectuer des opérations de lecture/écriture dans le répertoire de données de l’application Zoom. Produits concernés:
Source: Signalé par Dimitrios Valsamaras de Microsoft |
|||||
|
|
ZSB-22032 | 01/06/2023 | Élévation locale de privilèges dans les clients Zoom Rooms for macOS | Haute |
CVE-2022-36926 CVE-2022-36927 |
|
Gravité: Haute Score CVSS: 8.8 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Description: Les clients Zoom Rooms for macOS antérieurs à la version 5.11.3 présentent une vulnérabilité entraînant l’élévation locale de privilèges. Un utilisateur local à faibles privilèges peut exploiter cette vulnérabilité pour élever ses privilèges à ceux d’un utilisateur racine. Produits concernés:
Source: Signalé par Kirin (Pwnrin) |
|||||
|
|
ZSB-22031 | 01/06/2023 | Génération de clés non sécurisée pour les clients Zoom Rooms for macOS | Moyenne | CVE-2022-36925 |
|
Gravité: Moyenne Score CVSS: 4.4 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
Description: Les clients Zoom Rooms for macOS antérieurs à la version 5.11.4 contiennent un mécanisme de génération de clés non sécurisé. La clé de chiffrement utilisée pour IPC entre le service daemon Zoom Rooms et le client Zoom Rooms a été générée à l’aide de paramètres pouvant être obtenus par une application locale à faibles privilèges. Cette clé peut ensuite être utilisée pour interagir avec le service daemon afin d’exécuter des fonctions nécessitant des privilèges et entraîner un déni de service local. Produits concernés:
Source: Signalé par Kirin (Pwnrin) |
|||||
|
|
ZSB-22030 | 11/15/2022 | Élévation locale de privilèges dans le programme d’installation de Zoom Rooms pour Windows | Haute | CVE-2022-36924 |
|
Gravité: Haute Score CVSS: 8.8 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Description: Les versions du programme d’installation de Zoom Rooms pour Windows antérieures à 5.12.6 présentent une vulnérabilité susceptible d’élever le niveau de privilèges d’un utilisateur local. Un utilisateur local à faibles privilèges peut exploiter cette vulnérabilité lors du processus d’installation pour élever ses privilèges à ceux d’un utilisateur SYSTEM. Produits concernés:
Source: Signalé par sim0nsecurity |
|||||
|
|
ZSB-22029 | 11/15/2022 | Élévation locale de privilèges dans le programme d’installation du client Zoom pour macOS | Haute | CVE-2022-28768 |
|
Gravité: Haute Score CVSS: 8.8 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Description: Les versions du programme d’installation de Zoom Client for Meetings pour macOS antérieures à 5.12.6 contiennent une vulnérabilité entraînant l’élévation locale de privilèges. Un utilisateur local à faibles privilèges pourrait exploiter cette vulnérabilité pour disposer du maximum de privilèges. Produits concernés:
Source: Signalé par Koh M. Nakagawa (tsunekoh) |
|||||
|
|
ZSB-22027 | 11/15/2022 | Injection de DLL dans les clients Zoom pour Windows | Haute | CVE-2022-28766 |
|
Gravité: Haute Score CVSS: 8.1 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L
Description: Les versions 32 bits de Zoom Client for Meetings antérieures à 5.12.6 et de Zoom Rooms pour salles de conférence antérieures à 5.12.6 sont susceptibles de contenir une vulnérabilité liée à l’injection de DLL. Un utilisateur local à faibles privilèges pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire dans le contexte du client Zoom. Produits concernés:
Source: Signalé par sim0nsecurity |
|||||
|
|
ZSB-22025 | 11/10/2022 | Exposition des informations locales dans les clients Zoom | Faible | CVE-2022-28764 |
|
Gravité: Faible Score CVSS: 3.3 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Description: Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) avant la version 5.12.6 est susceptible de contenir une vulnérabilité d’exposition des informations locales. Produits concernés:
Source: Signalé par Christian Zäske (SySS GmbH) |
|||||
|
|
ZSB-22024 | 10/24/2022 | Analyse incorrecte des URL dans les clients Zoom | Haute | CVE-2022-28763 |
|
Gravité: Haute Score CVSS: 8.8 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Description: Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) avant la version 5.12.2 est susceptible de contenir une vulnérabilité d’analyse d’URL. Si une URL de réunion Zoom malveillante est ouverte, le lien malveillant peut diriger l’utilisateur vers une adresse réseau arbitraire, conduisant à des attaques supplémentaires, y compris des prises de contrôle de session. Produits concernés:
Source: Signalé par l’Équipe de sécurité de Zoom |
|||||
|
|
ZSB-22023 | 10/11/2022 | Mauvaise configuration du port de débogage de Zoom Apps dans Zoom Client for Meetings pour macOS | Haute | CVE-2022-28762 |
|
Gravité: Haute Score CVSS: 7.3 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
Description: Zoom Client for Meetings pour macOS (version Standard et celle destinée aux administrateurs informatiques), à partir de la version 5.10.6 et avant la version 5.12.0, contient une mauvaise configuration du port de débogage. Lorsque le contexte de rendu en mode caméra est activé dans le cadre de l’API Zoom App Layers via l’exécution de certaines applications Zoom, un port de débogage local est ouvert par le client Zoom. Un utilisateur local malveillant peut alors utiliser ce port pour se connecter aux applications Zoom s’exécutant dans le client Zoom et les contrôler. Produits concernés:
Source: Signalé par l’Équipe de sécurité de Zoom |
|||||
|
|
ZSB-22022 | 10/11/2022 | Déploiements Zoom sur site : contrôle d’accès inapproprié | Moyenne | CVE-2022-28761 |
|
Gravité: Moyenne Score CVSS: 6.5 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Description: Le connecteur de réunion Zoom sur site MMR avant la version 4.8.20220916.131 présente une vulnérabilité liée à un contrôle des accès inapproprié. De ce fait, une personne malveillante autorisée à rejoindre une réunion ou un webinaire peut empêcher les participants de capter l’audio et la vidéo, provoquant ainsi des perturbations lors de la réunion. Produits concernés:
Source: Signalé par l’Équipe de sécurité offensive Zoom |
|||||
|
|
ZSB-22021 | 09/13/2022 | Déploiements Zoom sur site : contrôle d’accès inapproprié | Moyenne | CVE-2022-28760 |
|
Gravité: Moyenne Score CVSS: 6.5 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Description: Le connecteur de réunion Zoom sur site MMR avant la version 4.8.20220815.130 contient une vulnérabilité de contrôle d’accès inapproprié. Par conséquent, une personne malveillante peut participer à une réunion à laquelle elle est autorisée à participer sans apparaître aux autres participants. Produits concernés:
Source: Signalé par l’Équipe de sécurité offensive Zoom |
|||||
|
|
ZSB-22020 | 09/13/2022 | Déploiements Zoom sur site : contrôle d’accès inapproprié | Haute |
CVE-2022-28758 CVE-2022-28759 |
|
Gravité: Haute Score CVSS: 8.2 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Description: Le connecteur de réunion Zoom sur site MMR avant la version 4.8.20220815.130 contient une vulnérabilité de contrôle d’accès inapproprié. Par conséquent, une personne malveillante pourrait obtenir le flux audio et vidéo d’une réunion à laquelle elle n’est pas autorisée à participer et perturber la réunion. Produits concernés:
Source: Signalé par l’Équipe de sécurité de Zoom |
|||||
|
|
ZSB-22019 | 08/17/2022 | Élévation locale de privilèges dans le programme de mise à jour automatique pour Zoom Client for Meetings pour macOS | Haute | CVE-2022-28757 |
|
Gravité: Haute Score CVSS: 8.8 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Description: Zoom Client for Meetings pour macOS (Standard et pour administrateur de compte) à partir de la version 5.7.3 et antérieure à 5.11.6 présente une vulnérabilité dans le processus de mise à jour automatique. Un utilisateur local à faibles privilèges peut exploiter cette vulnérabilité pour élever ses privilèges à ceux d’un utilisateur racine. Produits concernés:
Source: Signalé par Csaba Fitzl (theevilbit) de Offensive Security |
|||||
|
|
ZSB-22018 | 08/13/2022 | Élévation locale de privilèges dans le programme de mise à jour automatique pour les produits MacOS Zoom [Updated 2022-09-13] | Haute | CVE-2022-28756 |
|
Gravité: Haute Score CVSS: 8.8 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Description: Zoom Client for Meetings pour macOS (Standard et pour administrateur de compte) à partir de la version 5.7.3 et antérieure à 5.11.5 et Zoom Rooms pour salles de conférence pour macOS antérieur à la version 5.11.6 présentent une vulnérabilité dans le processus de mise à jour automatique. Un utilisateur local à faibles privilèges peut exploiter cette vulnérabilité pour élever ses privilèges à ceux d’un utilisateur racine. Produits concernés:
Source: Signalé par Patrick Wardle de Objective-See |
|||||
|
|
ZSB-22017 | 08/09/2022 | Élévation locale de privilèges dans Zoom Client for Meetings pour macOS | Haute | CVE-2022-28751 |
|
Gravité: Haute Score CVSS: 8.8 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Description: Le Zoom Client for Meetings pour macOS (Standard et pour administrateur de compte) avant la version 5.11.3 contient une vulnérabilité dans la validation de la signature du package lors du processus de mise à jour. Un utilisateur local à faibles privilèges peut exploiter cette vulnérabilité pour élever ses privilèges à ceux d’un utilisateur racine. Produits concernés:
Source: Signalé par Patrick Wardle de Objective-See |
|||||
|
|
ZSB-22014 | 08/09/2022 | Déploiements Zoom sur site : contrôle d’accès inapproprié | Haute |
CVE-2022-28753 CVE-2022-28754 |
|
Gravité: Haute Score CVSS: 7.1 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N
Description: Le connecteur de réunion Zoom sur site MMR avant la version 4.8.129.20220714 contient une vulnérabilité de contrôle d’accès inapproprié. Par conséquent, une personne malveillante peut rejoindre une réunion à laquelle elle est autorisée à participer sans apparaître aux autres participants, peut s’admettre dans la réunion depuis la salle d’attente, et peut devenir l’hôte et provoquer d’autres perturbations de la réunion. Produits concernés:
Source: Signalé par l’Équipe de sécurité offensive Zoom |
|||||
|
|
ZSB-22016 | 08/09/2022 | Analyse incorrecte des URL dans les clients Zoom [Updated 2022-10-24] | Critique | CVE-2022-28755 |
|
Gravité: Critique Score CVSS: 9.6 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Description: Le Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) avant la version 5.11.0 est susceptible d’être exposé à une vulnérabilité d’analyse d’URL. Si une URL de réunion Zoom malveillante est ouverte, le lien malveillant peut amener l’utilisateur à se connecter à une adresse réseau arbitraire. Cela peut entraîner des attaques supplémentaires, notamment l’exécution de code à distance via le lancement d’exécutables à partir de chemins arbitraires. Produits concernés:
Source: Signalé par l’Équipe de sécurité offensive Zoom |
|||||
|
|
ZSB-22012 | 08/09/2022 | Déploiements Zoom sur site : débordement de la mémoire tampon de la pile dans le connecteur de réunion | Haute | CVE-2022-28750 |
|
Gravité: Haute Score CVSS: 7.5 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Description: Le contrôleur de zone (ZC) du connecteur de réunion Zoom sur site avant la version 4.8.20220419.112 ne parvient pas à analyser correctement les codes d’erreur STUN, ce qui peut entraîner une corruption de la mémoire et permettre à une personne malveillante de faire planter l’application. Dans les versions antérieures à 4.8.12.20211115, cette vulnérabilité pourrait également être exploitée pour exécuter du code arbitraire. Produits concernés:
Source: Signalé par l’Équipe de sécurité offensive Zoom |
|||||
|
|
ZSB-22011 | 06/14/2022 | Vérification insuffisante des autorisations lors de la participation à une réunion | Moyenne | CVE-2022-28749 |
|
Gravité: Moyenne Score CVSS: 6.5 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Description: Le MMR du connecteur de réunion sur site de Zoom avant la version 4.8.113.20220526 ne vérifie pas correctement les autorisations d’un participant à une réunion Zoom. Par conséquent, un attaquant peut être admis à la réunion depuis la salle d’attente Zoom sans le consentement de l’hôte. Produits concernés:
Source: Signalé par l’Équipe de sécurité offensive Zoom |
|||||
|
|
ZSB- 22010 | 06/14/2022 | Injection de DLL dans le programme d’installation de Zoom Opener pour les appareils Zoom et Zoom Rooms | Haute | CVE-2022-22788 |
|
Gravité: Haute Score CVSS: 7.1 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
Description: Le programme d’installation de Zoom Opener est téléchargé par un utilisateur à partir de la page Lancer une réunion, lorsqu’il tente de participer à une réunion sans avoir installé Zoom Client for Meetings. Le programme d’installation de Zoom Opener pour Zoom Client for Meetings avant la version 5.10.3 et Zoom Rooms pour salles de conférence pour Windows avant la version 5.10.3 sont susceptibles d’être attaqués par injection de DLL. Cette vulnérabilité pourrait être utilisée pour exécuter un code arbitraire sur l’hôte de la victime. Produits concernés:
Source: Signalé par James Tsz Ko Yeung |
|||||
|
|
ZSB-22009 | 05/17/2022 | La validation du nom de l’hôte n’est pas suffisante lors d’un changement de serveur dans Zoom Client for Meetings | Moyenne | CVE-2022-22787 |
|
Gravité: Moyenne Score CVSS: 5.9 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L
Description: La version de Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) antérieure à la version 5.10.0 ne parvient pas à valider correctement le nom de l’hôte au cours d’une demande de changement de serveur. Ce problème risque d’être exploité dans le cadre d’une attaque plus sophistiquée destinée à connecter le client d’un utilisateur sans méfiance à un serveur malveillant lorsque ce dernier tente d’utiliser les services Zoom. Produits concernés:
Source: Signalé par Ivan Fratric de Google Project Zero |
|||||
|
|
ZSB-22008 | 05/17/2022 | Mettre à jour la mise à niveau du package dans Zoom Client for Meetings pour Windows | Haute | CVE-2022-22786 |
|
Gravité: Haute Score CVSS: 7.5 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Description: La version de Zoom Client for Meetings pour Windows antérieure à la version 5.10.0 et de Zoom Rooms pour salles de conférence pour Windows antérieure à la version 5.10.0 ne parvient pas à vérifier correctement la version d’installation pendant le processus de mise à jour. Ce problème pourrait être exploité dans le cadre d’une attaque plus sophistiquée pour inciter un utilisateur à rétrograder son client Zoom vers une version moins sécurisée. Produits concernés:
Source: Signalé par Ivan Fratric de Google Project Zero |
|||||
|
|
ZSB-22007 | 05/17/2022 | Cookies de session mal définis dans Zoom Client for Meetings | Moyenne | CVE-2022-22785 |
|
Gravité: Moyenne Score CVSS: 5.9 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L
Description: La version de Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) antérieure à la version 5.10.0 ne parvient pas à restreindre correctement les cookies de session client aux domaines Zoom. Ce problème pourrait être exploité dans le cadre d’une attaque plus sophistiquée pour envoyer les cookies de session Zoom d’un utilisateur à un domaine non-Zoom. Cela pourrait potentiellement permettre l’usurpation d’identité d’un utilisateur Zoom. Produits concernés:
Source: Signalé par Ivan Fratric de Google Project Zero |
|||||
|
|
ZSB- 22006 | 05/17/2022 | Analyse XML incorrecte dans Zoom Client for Meetings | Haute | CVE-2022-22784 |
|
Gravité: Haute Score CVSS: 8.1 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Description: La version de Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) antérieure à la version 5.10.0 ne parvient pas à analyser correctement les blocs XML dans les messages XMPP. Cela peut permettre à un utilisateur malveillant de sortir du contexte de message XMPP actuel et de créer un nouveau contexte de message pour que le client de l’utilisateur récepteur effectue diverses actions. Ce problème pourrait être exploité dans le cadre d’une attaque plus sophistiquée pour falsifier des messages XMPP à partir du serveur. Produits concernés:
Source: Signalé par Ivan Fratric de Google Project Zero |
|||||
|
|
ZSB- 22005 | 04/27/2022 | Exposition de la mémoire du processus dans les services de réunions sur site de Zoom | Haute | CVE-2022-22783 |
|
Gravité: Haute Score CVSS: 8.3 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/CR:H
Description: Une vulnérabilité dans la version 4.8.102.20220310 des Contrôleurs de connecteurs de réunion sur site Zoom et la version 4.8.102.20220310 des connecteurs de réunion sur site MMR expose des fragments de mémoire du processus aux clients connectés, susceptibles d’être observés par un attaquant passif. Produits concernés:
Source: Équipe de sécurité offensive Zoom |
|||||
|
|
ZSB-22004 | 04/27/2022 | Élévation locale de privilèges dans les Clients Zoom pour Windows | Haute | CVE-2022-22782 |
|
Gravité: Haute Score CVSS: 7.9 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H
Description: Les versions Zoom Client for Meetings pour Windows antérieures à la version 5.9.7, les versions Zoom Rooms pour les salles de conférence pour Windows antérieures à la version 5.10.0, les plug-ins Zoom pour Microsoft Outlook pour Windows avant la version 5.10.3 et les versions Zoom Client for Meetings pour VDI Windows antérieures à la version 5.9.6 étaient sensibles à un problème d’élévation locale des privilèges pendant l’opération de réparation du programme d’installation. Une personne malveillante pouvait exploiter ce problème pour supprimer des fichiers ou des dossiers au niveau du système, ce qui entraînait des problèmes d’intégrité ou de disponibilité sur la machine hôte de l’utilisateur. Produits concernés:
Source: Signalé par Zero Day Initiative |
|||||
|
|
ZSB-22003 | 04/27/2022 | Mettre à jour la mise à niveau du package dans Zoom Client for Meetings pour macOS | Haute | CVE-2022-22781 |
|
Gravité: Haute Score CVSS: 7.5 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Description: Les versions Zoom Client for Meetings pour macOS (Standard et pour administrateur de compte) antérieures à la version 5.9.6 ne pouvaient pas vérifier correctement la version du package pendant le processus de mise à jour. Une personne malveillante pouvait mettre à jour la version d’un utilisateur peu méfiant vers une version moins sécurisée. Produits concernés:
Source: Signalé par Patrick Wardle de Objective-See |
|||||
|
|
ZSB-22002 | 02/08/2022 | Zoom Team Chat sensible aux bombes de décompression | Moyenne | CVE-2022-22780 |
|
Gravité: Moyenne Score CVSS: 4.7 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L
Description: Dans les versions de produit suivantes, la fonctionnalité de chat du Zoom Client for Meetings est exposée aux bombes de décompression : Android, version antérieure à la 5.8.6 ; iOS, version antérieure à la 5.9.0 ; Linux, version antérieure à la 5.8.6 ; macOS, version antérieure à la 5.7.3 ; et Windows, version antérieure à la 5.6.3. Cela pourrait entraîner des problèmes de disponibilité sur l’hôte du client en raison de l’épuisement des ressources du système. Produits concernés:
Source: Signalé par Johnny Yu de Walmart Global Tech |
|||||
|
|
ZSB-22001 | 02/08/2022 | Messages éclatés conservés dans les clients Keybase pour macOS et Windows | Faible | CVE-2022-22779 |
|
Gravité: Faible Score CVSS: 3.7 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Description: Les versions antérieures à la 5.9.0 des clients Keybase pour macOS et Windows ne suppriment pas correctement les messages éclatés à l’initiative d’un utilisateur. Cela peut se produire si l’utilisateur recevant les messages passe à une fonctionnalité hors chat et met l’hôte en veille avant que l’expéditeur éclate les messages. Ce problème pourrait entraîner la divulgation d’informations confidentielles qui auraient dû être supprimées du système de fichiers d’un utilisateur. Produits concernés:
Source: Signalé par Olivia O’Hara |
|||||
|
|
ZSB-21022 | 12/14/2021 | Exécution arbitraire de commandes dans le client Keybase pour Windows | Moyenne | CVE-2021-34426 |
|
Gravité: Moyenne Score CVSS: 5.3 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
Description: Une vulnérabilité a été découverte dans les versions antérieures à 5.6.0 du client Keybase pour Windows lorsque l’utilisateur exécute la commande « keybase git lfs-config » dans la console. Dans les versions antérieures à 5.6.0, une personne malveillante disposant de privilèges d’écriture sur le référentiel Git d’un utilisateur pouvait exploiter cette vulnérabilité pour exécuter des commandes Windows arbitraires sur le système local de cet utilisateur. Produits concernés:
Source: Signalé par RyotaK |
|||||
|
|
ZSB-21021 | 12/14/2021 | Falsification de requête côté serveur dans le chat Zoom Client for Meetings | Moyenne | CVE-2021-34425 |
|
Gravité: Moyenne Score CVSS: 4.7 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N
Description: Les versions antérieures à 5.7.3 du Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) contiennent une vulnérabilité de falsification de requête côté serveur dans la fonctionnalité « Aperçu du lien » du chat. Dans les versions antérieures à 5.7.3, lorsqu’un utilisateur activait la fonctionnalité « Aperçu du lien » dans le chat, une personne malveillante pouvait l’amener à envoyer des requêtes HTTP GET arbitraires à des URL auxquelles elle n’avait pas directement accès. Produits concernés:
Source: Signalé par Johnny Yu de Walmart Global Tech |
|||||
|
|
ZSB-21020 | 11/24/2021 | Exposition de la mémoire processus dans le client Zoom et d’autres produits | Moyenne | CVE-2021-34424 |
|
Gravité: Moyenne Score CVSS: 5.3 Chaîne vectorielle CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Description: Une vulnérabilité a été découverte dans la liste de produits de la rubrique « Produits concernés » du présent bulletin. Celle-ci a potentiellement exposé l’état de la mémoire processus. Ce problème peut être exploité pour obtenir des informations sur des zones arbitraires de la mémoire du produit. Produits concernés:
Source: Signalé par Natalie Silvanovich de Google Project Zero |
|||||
|
|
ZSB-21019 | 11/24/2021 | Débordement de la mémoire tampon dans le client Zoom et d’autres produits | Haute | CVE-2021-34423 |
|
Gravité: Haute Score CVSS: 7.3 Chaîne vectorielle CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Description: Une vulnérabilité de débordement de la mémoire tampon a été découverte dans la liste des produits de la rubrique « Produits concernés » du présent bulletin. Celle-ci pourrait permettre à une personne malveillante de faire planter le service ou l’application ou encore d’exécuter un code arbitraire. Produits concernés:
Source: Source : Signalé par Natalie Silvanovich de Google Project Zero |
|||||
|
|
ZSB-21018 | 11/09/2021 | Traversée de chemins d’accès pour les noms de fichiers sur le client Keybase pour Windows | Haute | CVE-2021-34422 |
|
Gravité: Haute Score CVSS: 7.2 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
Description: Les versions antérieures à 5.7.0 du client Keybase pour Windows contiennent une vulnérabilité au niveau de la traversée des chemins d’accès lors de la vérification du nom d’un fichier téléchargé sur un dossier partagé par une équipe. Une personne malveillante pourrait télécharger sur un dossier partagé un fichier dont le nom a été spécifiquement conçu pour qu’un utilisateur exécute involontairement une application sur sa machine hôte. Si un utilisateur malveillant venait à exploiter cette faille avec la fonctionnalité de partage de dossiers publics du client Keybase, cela pourrait lui permettre d’exécuter du code à distance. Produits concernés:
Source: Signalé par m4t35z |
|||||
|
|
ZSB-21017 | 11/09/2021 | Messages éclatés conservés dans les clients Keybase pour Android et iOS | Faible | CVE-2021-34421 |
|
Gravité: Faible Score CVSS: 3.7 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Description: Les versions antérieures à 5.8.0 des clients Keybase pour Android et pour iOS ne suppriment pas correctement les messages éclatés par l’utilisateur si l’utilisateur recevant les messages met la session de chat en arrière-plan pendant que l’expéditeur éclate les messages. Ce processus peut entraîner la divulgation d’informations confidentielles qui auraient dû être supprimées de l’appareil du client. Produits concernés:
Source: Signalé par Olivia O’Hara, John Jackson, Jackson Henry et Robert Willis |
|||||
|
|
ZSB-21016 | 11/09/2021 | Contournement de la signature de l’exécutable d’installation de Zoom pour Windows | Moyenne | CVE-2021-34420 |
|
Gravité: Moyenne Score CVSS: 4.7 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N
Description: Les versions antérieures à 5.5.4 de l’installeur pour Windows de Zoom Client for Meetings ne vérifient pas correctement la signature des fichiers avec une extension .msi, .ps1 ou .bat. Une personne malveillante pourrait exploiter ceci et installer des logiciels malveillants sur l’ordinateur d’un client. Produits concernés:
Source: Signalé par Laurent Delosieres de ManoMano |
|||||
|
|
ZSB-21015 | 11/09/2021 | Injection HTML dans le client Zoom pour Linux | Faible | CVE-2021-34419 |
|
Gravité: Faible Score CVSS: 3.7 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
Description: Les versions antérieures à 5.1.0 du Zoom Client for Meetings pour Linux Ubuntu contiennent une faille d’injection HTML qui intervient lors de l’envoi d’une demande de contrôle à distance à un utilisateur partageant son écran pendant une réunion. Les participants à cette réunion pourraient alors être exposés à du piratage psychologique. Produits concernés:
Source: Signalé par Danny de Weille et Rick Verdoes de hackdefense |
|||||
|
|
ZSB-21014 | 11/09/2021 | Plantage du pointeur Null de pré-authentification dans la console Web sur site | Moyenne | CVE-2021-34418 |
|
Gravité: Moyenne Score CVSS: 4.0 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L Description: Le service de connexion de la console Web des produits listés dans la rubrique « Produits concernés » du présent bulletin ne réussit pas à valider qu’un byte NULL a été envoyé au cours du processus d’authentification. Ceci pourrait entraîner un plantage du service de connexion. Produits concernés:
Source: Signalé par Jeremy Brown |
|||||
|
|
ZSB-21013 | 11/09/2021 | Exécution de commandes à distance authentifiées avec privilèges racine via la console Web dans MMR | Haute | CVE-2021-34417 |
|
Gravité: Haute Score CVSS: 7.9 Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N Description: La page de proxy réseau du portail web des produits listés dans la rubrique « Produits concernés » du présent bulletin ne parvient pas à valider l’entrée envoyée dans les demandes de configuration du mot de passe du proxy réseau. Ceci pourrait permettre à un administrateur du web portal de réaliser une injection de commande à distance. Produits concernés:
Source: Signalé par Jeremy Brown |
|||||
|
|
ZSB-21012 | 09/30/2021 | Exécution de code à distance sur des images sur site via web portal | Moyenne | CVE-2021-34416 |
|
Gravité: Moyenne Score CVSS: 5.5 Chaîne vectorielle CVSS: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N Description: Le web portal de configuration administrative de l’adresse réseau : du connecteur de réunion Zoom sur site de version antérieure à 4.6.360.20210325 ; du connecteur de réunion Zoom sur site MMR de version antérieure à 4.6.360.20210325 ; du connecteur d’enregistrement Zoom sur site de version antérieure à 3.8.44.20210326 ; du connecteur de salle virtuelle Zoom sur site de version antérieure à 4.4.6752.20210326 ; et de l’équilibreur de charge du connecteur de salle virtuelle Zoom sur site de version antérieure à 2.5.5495.20210326 ne réussit pas à valider l’entrée envoyée dans les demandes de mise à jour de la configuration du réseau. Ceci pourrait permettre à des administrateurs du web portal de réaliser une injection de commande à distance sur l’image sur site. Produits concernés:
Source: Signalé par Egor Dimitrenko de Positive Technologies |
|||||
|
|
ZSB-21011 | 09/30/2021 | Plantage du contrôleur de zone utilisant un PDU qui provoque des allocations multiples | Haute | CVE-2021-34415 |
|
Gravité: Haute Score CVSS: 7.5 Chaîne vectorielle CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H Description: Le service de contrôleur de zone des versions antérieures à 4.6.358.20210205 du contrôleur de connecteur de réunion Zoom sur site ne réussit pas à vérifier le champ cnt envoyé dans les paquets réseau entrants, ce qui provoque un épuisement des ressources et un plantage du système. Produits concernés:
Source: Signalé par Nikita Abramov de Positive Technologies |
|||||
|
|
ZSB-21010 | 09/30/2021 | Exécution de code à distance sur le serveur de connecteur de réunion via la configuration du proxy réseau sur le web portal | Moyenne | CVE-2021-34414 |
|
Gravité: Moyenne Score CVSS: 7.2 Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H Description: La page proxy du web portal : du contrôleur du connecteur de réunion Zoom sur site de version antérieure à 4.6.348.20201217 ; du connecteur de réunion Zoom sur site MMR de version antérieure à 4.6.348.20201217 ; du connecteur d’enregistrement Zoom sur site de version antérieure à 3.8.42.20200905 ; du connecteur de salle virtuelle Zoom sur site de version antérieure à 4.4.6620.20201110 ; et de l’équilibreur de charge du connecteur de salle virtuelle Zoom sur site de version antérieure à 2.5.5495.20210326 ne réussit pas à valider l’entrée envoyée par les demandes de mise à jour de la configuration du proxy réseau. Ceci pourrait permettre à un administrateur du web portal de réaliser une injection de commandes à distance sur l’image sur site. Produits concernés:
Source: Signalé par Egor Dimitrenko de Positive Technologies |
|||||
|
|
ZSB-21009 | 09/30/2021 | Élévation locale de privilèges avec l’installeur du module d’extension Outlook pour Zoom pour macOS | Faible | CVE-2021-34413 |
|
Gravité: Faible Score CVSS: 2.8 Chaîne vectorielle CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N Description: Toutes les versions antérieures à 5.3.52553.0918 du module d’extension Zoom pour Microsoft Outlook sur macOS contiennent une vulnérabilité TOC/TOU (time-of-check to time-of-use) pendant le processus d’installation du module d’extension. Ceci pourrait permettre à un utilisateur standard d’écrire sa propre application malveillante dans le dossier du module d’extension et ainsi de permettre à celle-ci de s’exécuter dans un contexte avec privilèges. Produits concernés:
Source: Signalé par la Red Team de Lockheed Martin |
|||||
|
|
ZSB-21008 | 09/30/2021 | Élévation locale de privilèges avec l’installeur de Zoom pour Windows | Moyenne | CVE-2021-34412 |
|
Gravité: Moyenne Score CVSS: 4.4 Chaîne vectorielle CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Description: Sur toutes les versions antérieures à 5.4.0 du Zoom Client for Meetings pour Windows, il est possible de lancer Internet Explorer au cours du processus d’installation. Si l’installeur a été lancé avec des privilèges élevés, par exemple par SCCM, cela peut entraîner une élévation locale des privilèges. Produits concernés:
Source: Signalé par la Red Team de Lockheed Martin |
|||||
|
|
ZSB-21007 | 09/30/2021 | Élévation locale de privilèges avec l’installeur de Zoom Rooms | Moyenne | CVE-2021-34411 |
|
Gravité: Moyenne Score CVSS: 4.4 Chaîne vectorielle CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Description: Sur les versions antérieures à 5.3.0 de Zoom Rooms pour salles de conférence pour Windows, il est possible de lancer Internet Explorer avec des privilèges élevés. Si l’installeur a été lancé avec des privilèges élevés, par exemple par SCCM, cela peut entraîner une élévation locale des privilèges. Produits concernés:
Source: Signalé par la Red Team de Lockheed Martin |
|||||
|
|
ZSB-21004 | 09/30/2021 | Autorisation d’écriture élevée avec l’installeur Zoom MSI grâce à une jonction | Haute | CVE-2021-34408 |
|
Gravité: Haute Score CVSS: 7.0 Chaîne vectorielle CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Description: Sur les versions antérieures à 5.3.2 du Zoom Client for Meetings pour Windows, un répertoire avec autorisation d’écriture pour l’utilisateur créé pendant l’installation pourrait être redirigé vers un autre emplacement au moyen d’une jonction. Ceci permettrait à un attaquant d’écraser des fichiers qu’un utilisateur avec peu de privilèges ne serait normalement pas en mesure de modifier. Produits concernés:
Source: Signalé par la Red Team de Lockheed Martin |
|||||
|
|
ZSB-21003 | 09/30/2021 | Contournement de la signature numérique de l’installeur de Zoom pour Windows | Haute | CVE-2021-33907 |
|
Gravité: Haute Score CVSS: 7.0 Chaîne vectorielle CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H/MPR:N/MUI:R/MS:U/MC:H/MI:H/MA:H
Description: Aucune version antérieure à 5.3.0 du Zoom Client for Meetings pour Windows ne réussit à valider correctement les informations utilisées pour la signature des fichiers .msi lorsqu’une mise à jour du client est réalisée. Ceci pourrait permettre l’exécution de code à distance avec des privilèges élevés. Produits concernés:
Source: Signalé par la Red Team de Lockheed Martin |
|||||
|
|
ZSB-21002 | 08/13/2021 | Dépassement de tas causé par une écriture non vérifiée dans un tampon statique à partir d’un message XMPP | Haute | CVE-2021-30480 |
|
Gravité: Haute Score CVSS: 8.1 Chaîne vectorielle CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H
Description: Un dépassement de tas, qui est un type de dépassement tampon, existe dans toutes les versions desktop de Zoom Client for Meetings antérieures à la version 5.6.3. Cette constatation a été signalée à Zoom dans le cadre du Pwn20wn Vancouver 2021. La chaîne d’attaque démontrée lors du Pwn20wn a été atténuée par un changement côté serveur dans l’infrastructure de Zoom le 09/04/2021. Produits concernés:
Source: Signalé par Daan Keuper et Thijs Alkemade de Computest via la Zero Day Initiative |
|||||
|
|
ZSB-21001 | 03/26/2021 | Fonctionnalité de partage d’écran de la fenêtre d’application | Moyenne | CVE-2021-28133 |
|
Gravité: Moyenne Score CVSS: 5.7 Chaîne vectorielle CVSS: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N
Description: Une vulnérabilité affectait la fonctionnalité de partage d’écran du client Zoom pour Windows et Linux lors du partage de fenêtres d’application individuelles. Des contenus d’écran que les utilisateurs n’avaient pas choisi de partager pouvaient être visibles par d’autres participants, lorsque la personne qui partageait son écran réduisait, agrandissait ou fermait une autre fenêtre. Produits concernés:
Source: Découverte par Michael Stramez et Matthias Deeg. |
|||||
|
|
ZSB-20002 | 08/14/2020 | DLL Windows dans le service de partage Zoom | Haute | CVE-2020-9767 |
|
Gravité: Haute Score CVSS: 7.8 Chaîne vectorielle CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Description: Une vulnérabilité liée au chargement de la bibliothèque de liens dynamiques (« DLL ») dans le service de partage Zoom peut permettre à un utilisateur Windows local d’élever ses privilèges à ceux d’un utilisateur NT AUTHORITY/SYSTEM. Produits concernés:
Source: Connor Scott de Context Information Security |
|||||
|
|
ZSB-20001 | 05/04/2020 | Installateur informatique Zoom pour Windows | Haute | CVE-2020-11443 |
|
Gravité: Haute Score CVSS: Base : 8.4 Chaîne vectorielle CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H
Description: Une vulnérabilité dans la façon dont l’installateur Zoom pour Windows gère les jonctions lors de la suppression de fichiers peut permettre à un utilisateur Windows local de supprimer des fichiers qu’il n’est normalement pas en mesure de supprimer. Produits concernés:
Source: Merci à la Red Team de Lockheed Martin. |
|||||
|
|
ZSB-19003 | 07/12/2019 | ZoomOpener Daemon | Haute | CVE-2019-13567 |
|
Gravité: Haute Score CVSS: Base : 7.5 Chaîne vectorielle CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Description: Une vulnérabilité dans le client Zoom pour macOS pourrait permettre à un attaquant de télécharger des logiciels malveillants sur l’appareil d’une victime. Produits concernés:
Source: Inconnue. |
|||||
|
|
ZSB-19002 | 07/09/2019 | Paramètre vidéo par défaut | Faible | CVE-2019-13450 |
|
Gravité: Faible Score CVSS: Base : 3.1 Chaîne vectorielle CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
Description: Une vulnérabilité dans les clients RingCentral et Zoom pour macOS pourrait permettre à un attaquant non authentifié de forcer à distance un utilisateur à participer à un appel vidéo avec la caméra vidéo active. Produits concernés:
Source: Découverte par Jonathan Leitschuh. |
|||||
|
|
ZSB-19001 | 07/09/2019 | Attaque par déni de service – macOS | Faible | CVE-2019-13449 |
|
Gravité: Faible Score CVSS: Base : 3.1 Chaîne vectorielle CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Description: Une vulnérabilité dans Client Zoom sous macOS pourrait permettre à un attaquant non authentifié de déclencher à distance une condition de déni de service sur le système d’une victime. Produits concernés:
Source: Découverte par Jonathan Leitschuh. |
|||||
| No results found | |||||
Indiquez votre adresse e-mail individuelle pour recevoir des notifications concernant les prochains bulletins de sécurité Zoom. (Remarque : Les alias d’adresse e-mail ne recevront pas ces notifications.)