TRUST CENTER SECURITY, PRIVACY BLOGS ADDITIONAL RESOURCES

Bulletin de sécurité

Severity All
  • Severity All
  • High
  • Medium
  • Low
CVE All
  • CVE All
  • CVE-2021-28133
  • CVE-2020-9767
  • CVE-2020-11443
  • CVE-2019-13567
  • CVE-2019-13450
  • CVE-2019-13449
  • CVE-2018-15715
Search

Bulletin de sécurité

ZSB Date Title Severity CVE (if applicable)
ZSB-21001 03/26/2020 Fonctionnalité de partage d’écran de fenêtre d’application Moyen CVE-2021-28133

Severity: Moyen

CVSS Score: 5.7

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

Description: une vulnérabilité a affecté les fonctionnalités d’écran de partage des clients Zoom sous Windows et Linux lors du partage de fenêtres d’application individuelles, dans lesquelles le contenu de l’écran des applications qui ne sont pas explicitement partagées par les utilisateurs de partage d’écran pourrait être vu par d’autres participants à la réunion pendant un court instant, si la personne qui partage l’écran réduit, développe ou ferme une autre fenêtre.

Zoom a introduit plusieurs nouvelles mesures d’atténuation des risques liés à la sécurité dans la version 5.6 du client Zoom sous Windows. Ces mesures réduisent la possibilité que ce problème se produise pour les utilisateurs de Windows. Nous continuons de travailler sur des mesures supplémentaires pour résoudre ce problème sur toutes les plateformes concernées.

Zoom a également résolu ce problème pour les utilisateurs d’Ubuntu le 1er mars 2020 dans la version 5.5.4. du client Zoom sous Linux. Les utilisateurs peuvent appliquer les mises à jour actuelles ou télécharger le dernier logiciel Zoom avec toutes les mises à jour de sécurité actuelles depuis https://zoom.us/download.

Affected Products:

  • Toutes les versions de clients Zoom sous Windows
  • Les versions de clients Zoom sous Linux antérieures à 5.5.4 sous Ubuntu
  • Toutes les versions de clients sous Linux sous d’autres distributions prises en charge

Source: découverte par Michael Stramez et Matthias Deeg.

ZSB-20002 08/14/2020 DLL Windows dans le service de partage Zoom Haute CVE-2020-9767

Severity: Haute

CVSS Score: 7.8

CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Description: une vulnérabilité liée au chargement de la bibliothèque de liens dynamiques (« DLL ») dans le service de partage Zoom pourrait permettre à un utilisateur de Windows local d’attribuer les privilèges de l’utilisateur NT AUTHORITY/SYSTEM.

Cette vulnérabilité est causée par des vérifications de signature insuffisantes des DLL chargées dynamiquement lors du chargement d’un fichier exécutable signé. Un attaquant pourrait exploiter cette vulnérabilité en injectant une DLL malveillante dans un fichier exécutable signé Zoom et en l’utilisant pour lancer des processus avec des autorisations élevées.

Zoom a éliminé cette vulnérabilité dans la version 5.0.4 du client. Les utilisateurs peuvent garantir leur sécurité en appliquant les mises à jour actuelles ou en téléchargeant le dernier logiciel Zoom avec toutes les mises à jour de sécurité actuelles depuis https://zoom.us/download.

Affected Products:

  • Les versions de l’installateur Zoom pour Windows (ZoomInstallerFull.msi) antérieures à 5.0.4

Source: Connor Scott de Context Information Security

ZSB-20001 05/04/2020 Installateur informatique Zoom pour Windows Haute CVE-2020-11443

Severity: Haute

CVSS Score: base : 8.4

CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Description: une vulnérabilité dans la façon dont l’installateur Zoom pour Windows gère les jonctions lors de la suppression de fichiers pourrait permettre à un utilisateur de Windows local de supprimer des fichiers que l’utilisateur ne peut normalement pas supprimer.

Cette vulnérabilité est causée par une vérification insuffisante des jonctions dans le répertoire à partir duquel l’installateur supprime les fichiers, qui est modifiable par les utilisateurs standard. Un utilisateur local malveillant pourrait exploiter cette vulnérabilité en créant une jonction dans le répertoire affecté qui renvoie vers des fichiers système protégés ou d’autres fichiers pour lesquels l’utilisateur ne dispose pas d’autorisations. Lors de l’exécution de l’installateur Zoom pour Windows avec des autorisations élevées, comme c’est le cas lorsqu’il est exécuté par le biais d’un logiciel de déploiement géré, ces fichiers seraient supprimés du système.

Zoom a éliminé cette vulnérabilité dans la version 4.6.10 du client. Les utilisateurs peuvent garantir leur sécurité en appliquant les mises à jour actuelles ou en téléchargeant le dernier logiciel Zoom avec toutes les mises à jour de sécurité actuelles depuis https://zoom.us/download.

Affected Products:

  • Les versions de l’installateur Zoom pour Windows (ZoomInstallerFull.msi) antérieures à 4.6.10

Source: découverte par l’équipe de tests de sécurité de Lockheed Martin.

ZSB-19003 07/12/2019 ZoomOpener Daemon Haute CVE-2019-13567

Severity: Haute

CVSS Score: base : 7.5

CVSS Vector String: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Description: une vulnérabilité dans le client Zoom sous MacOS pourrait permettre à un attaquant de télécharger des logiciels malveillants sur l’appareil d’une victime.

Cette vulnérabilité est causée par des validations incorrectes des entrées et des logiciels téléchargés dans l’application d’aide ZoomOpener. Un attaquant pourrait exploiter cette vulnérabilité pour demander à l’appareil d’une victime de télécharger des fichiers en son nom. Cela n’est possible que si la victime a désinstallé le client Zoom.

Zoom a éliminé cette vulnérabilité dans la version 4.4.52595.0425 du client. Les utilisateurs peuvent garantir leur sécurité en appliquant les mises à jour actuelles ou en téléchargeant le dernier logiciel Zoom avec toutes les mises à jour de sécurité actuelles depuis https://zoom.us/download.

Affected Products:

  • Client Zoom sous MacOS avant la version 4.4.52595.0425 et après la version 4.1.27507.0627

Source: inconnue.

ZSB-19002 07/09/2019 Paramètre vidéo par défaut Faible CVE-2019-13450

Severity: Faible

CVSS Score: base : 3.1

CVSS Vector String: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

Description: Une vulnérabilité dans les clients Zoom et RingCentral sous MacOS pourrait permettre à un attaquant non authentifié de forcer à distance un utilisateur à rejoindre un appel vidéo avec la caméra vidéo active.

Cette vulnérabilité est causée par des contrôles d’autorisation insuffisants, nécessaires pour vérifier les systèmes pouvant communiquer avec le serveur Web Zoom local exécuté sur le port 19421. Un attaquant pourrait exploiter cette vulnérabilité en créant un site Web malveillant qui amène le client Zoom à rejoindre automatiquement une réunion planifiée par l’attaquant.

Zoom a implémenté une nouvelle boîte de dialogue Aperçu vidéo que l’utilisateur voit avant de rejoindre une réunion dans la version 4.4.5 du client, publiée le 14 juillet 2019. Cette boîte de dialogue permet à l’utilisateur de rejoindre la réunion avec ou sans vidéo activée et demande à l’utilisateur de définir le paramètre par défaut souhaité pour la vidéo. Zoom recommande aux clients d’installer la dernière version de Zoom disponible sur https://zoom.us/download.

Affected Products:

  • Client Zoom sous MacOS avant la version 4.4.5
  • Client RingCentral sous MacOS avant la version 4.4.5

Source: découverte par Jonathan Leitschuh.

ZSB-19001 07/09/2019 Attaque par déni de service – MacOS Faible CVE-2019-13449

Severity: Faible

CVSS Score: base : 3.1

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Description: une vulnérabilité dans le client Zoom sous MacOS pourrait permettre à un attaquant non authentifié de déclencher à distance une condition de déni de service sur le système d’une victime.

Cette vulnérabilité est causée par des contrôles d’autorisation insuffisants, nécessaires pour vérifier les systèmes pouvant communiquer avec le serveur Web Zoom local exécuté sur le port 19421. Un attaquant pourrait exploiter cette vulnérabilité en créant un site Web malveillant qui amène le client Zoom à essayer à plusieurs reprises de rejoindre une réunion avec un ID de réunion non valide. La boucle sans fin rend le client Zoom inopérant et peut avoir un impact sur les performances du système sur lequel il s’exécute.

Zoom a éliminé cette vulnérabilité dans la version 4.4.2-hotfix du client MacOS publiée le 28 avril 2019.

Affected Products:

  • Client Zoom sous MacOS avant la version 4.4.5
  • Client RingCentral sous MacOS avant la version 4.4.5

Source: découverte par Jonathan Leitschuh.

ZSB-18001 11/30/2018 Traitement de messages non autorisé Haute CVE-2018-15715

Severity: Haute

CVSS Score: 7.4

CVSS Vector String: AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:L/CR:X/IR:H/AR:H/MAV:X/MAC:X/MPR:X/MUI:X/MS:X/MC:X/MI:X/MA:X

Description: une vulnérabilité dans le client Zoom pourrait permettre à un attaquant non authentifié de contrôler à distance les fonctionnalités de réunion telles que l’éjection des participants, l’envoi de messages de discussion et la désactivation du micro des participants. Si l’attaquant est un participant autorisé à la réunion et si un autre participant partage son écran de bureau, l’attaquant pourrait également prendre le contrôle du clavier et de la souris de ce participant.

Cette vulnérabilité est causée par le fait que la pompe à messages interne de Zoom a envoyé des messages du protocole User Datagram Protoco (UDP) et du protocole Transmission Control Protocol (TCP) au même gestionnaire de messages. Un attaquant pourrait exploiter cette vulnérabilité pour créer et envoyer des paquets UDP qui seraient interprétés comme des messages traités à partir du canal TCP de confiance utilisé par les serveurs Zoom autorisés.

Zoom a publié des mises à jour du client pour éliminer cette vulnérabilité de sécurité. Les utilisateurs peuvent garantir leur sécurité en appliquant les mises à jour actuelles ou en téléchargeant le dernier logiciel Zoom avec toutes les mises à jour de sécurité actuelles depuis https://zoom.us/download.

Affected Products:

  • Clients Windows avant la version 4.1.34460.1105
  • Clients Mac avant la version 4.1.34475.1105
  • Clients Linux avant la version 2.5.146186.1130
  • Clients iOS avant la version 4.1.18 (4460.1105)
  • Clients Android avant la version 4.1.34489.1105
  • Clients Chrome avant la version 3.3.1635.1130
  • Clients Zoom Room sous Windows avant la version 4.1.6 (35121.1201)
  • Clients Zoom Room sous Mac avant la version 4.1.7 (35123.1201)
  • Clients Zoom Room sous Chrome avant la version 3.6.2895.1130
  • Clients Zoom SDK sous Windows avant la version 4.1.30384.1029
  • Zoom SDK sous Mac avant la version 4.1.34180.1026
  • Zoom SDK sous iOS avant la version 4.1.34076.1024
  • Zoom SDK sous Android avant la version 4.1.34082.1024
  • Connecteur de salle virtuelle Zoom avant la version 4.1.4813.1201
  • Connecteurs de réunion Zoom avant la version 4.3.135059.1129
  • Connecteurs d’enregistrement Zoom avant la version 3.6.58865.1130
  • Le connecteur Skype Entreprise Cloud Zoom a été mis à jour le 01/12/2018
  • Le connecteur de salle de conférence Cloud Zoom a été mis à jour le 06/12/2018

Source: David Wells de Tenable.

No results found