Trust Center Security, Privacy, Blogs Additional Resources

Bulletins de sécurité

Pour en savoir plus sur notre réponse à Log4j, veuillez consulter notre bulletin de sécurité Zoom sur les vulnérabilités Apache Log4j.

Severity All
  • Severity All
  • Critical
  • High
  • Medium
  • Low
CVE All
  • CVE All
  • CVE-2023-28597
  • CVE-2023-28596
  • CVE-2023-22883
  • CVE-2023-22881
    CVE-2023-22882
  • CVE-2023-22880
  • CVE-2022-36930
  • CVE-2022-36929
  • CVE-2022-36928
  • CVE-2022-36926
    CVE-2022-36927
  • CVE-2022-36925
  • CVE-2022-36924
  • CVE-2022-28768
  • CVE-2022-28766
  • CVE-2022-28764
  • CVE-2022-28763
  • CVE-2022-28762
  • CVE-2022-28761
  • CVE-2022-28760
  • CVE-2022-28758
    CVE-2022-28759
  • CVE-2022-28757
  • CVE-2022-28756
  • CVE-2022-28751
  • CVE-2022-28753
    CVE-2022-28754
  • CVE-2022-28755
  • CVE-2022-28752
  • CVE-2022-28750
  • CVE-2022-28749
  • CVE-2022-22788
  • CVE-2022-22787
  • CVE-2022-22786
  • CVE-2022-22785
  • CVE-2022-22784
  • CVE-2022-22783
  • CVE-2022-22782
  • CVE-2022-22781
  • CVE-2022-22780
  • CVE-2022-22779
  • CVE-2021-34426
  • CVE-2021-34425
  • CVE-2021-34424
  • CVE-2021-34423
  • CVE-2021-34422
  • CVE-2021-34421
  • CVE-2021-34420
  • CVE-2021-34419
  • CVE-2021-34418
  • CVE-2021-34417
  • CVE-2021-34416
  • CVE-2021-34415
  • CVE-2021-34414
  • CVE-2021-34413
  • CVE-2021-34412
  • CVE-2021-34411
  • CVE-2021-34408
  • CVE-2021-33907
  • CVE-2021-30480
  • CVE-2021-28133
  • CVE-2020-9767
  • CVE-2020-11443
  • CVE-2019-13567
  • CVE-2019-13450
  • CVE-2019-13449
Recherche

Bulletins de sécurité

ZSB Date Title Severity CVE (if applicable)
ZSB-23005 03/14/2023 Mise en œuvre incorrecte des limites de confiance pour SMB dans les clients Zoom High CVE-2023-28597

Severity: High

CVSS Score: 8.3

CVSS Vector String: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

Description: Les clients Zoom antérieurs à la version 5.13.5 présentent une vulnérabilité liée à la mise en œuvre des limites de confiance. Si une victime enregistre un enregistrement local dans un emplacement SMB, puis qu’elle l’ouvre ultérieurement à l’aide d’un lien à partir du portail Web Zoom, un attaquant peut, à partir d’un réseau adjacent au client victime, configurer un serveur SMB malveillant pour répondre aux demandes du client ; celui-ci pourrait alors exécuter des exécutables contrôlés par l’attaquant. L’attaquant aurait ainsi accès à l’appareil et aux données d’un utilisateur, et pourrait exécuter du code à distance.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Clients Zoom (pour Android, iOS, Linux, macOS et Windows) antérieurs à la version 5.13.5
  • Clients Zoom Rooms (pour Android, iOS, Linux, macOS et Windows) antérieurs à la version 5.13.5
  • Zoom Client for Meetings pour VDI Windows avant la version 5.13.10

Source: Signalé par l'Équipe de sécurité offensive Zoom

ZSB-23004 03/14/2023 Élévation locale de privilèges dans les programmes d’installation de Zoom pour macOS Medium CVE-2023-28596

Severity: Medium

CVSS Score: 5.2

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L

Description: Les programmes d’installation du client Zoom pour administrateurs informatiques pour macOS antérieurs à la version 5.13.5 présentent une vulnérabilité entraînant l’élévation locale de privilèges. Un utilisateur local à faibles privilèges pourrait exploiter cette vulnérabilité dans une chaîne d’attaque lors du processus d’installation pour disposer des privilèges d’un utilisateur racine.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Programmes d’installation de Zoom Client for Meetings pour administrateurs informatiques pour macOS antérieurs à la version 5.13.5

Source: Signalé par Koh M. Nakagawa (tsunekoh)

ZSB-23003 03/14/2023 Élévation locale de privilèges dans les programmes d’installation de Zoom pour Windows High CVE-2023-22883

Severity: High

CVSS Score: 7.2

CVSS Vector String: CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:N/I:H/A:H

Description: Les programmes d’installation du client Zoom pour administrateurs informatiques pour Windows antérieurs à la version 5.13.5 présentent une vulnérabilité entraînant l’élévation locale de privilèges. Un utilisateur local à faibles privilèges pourrait exploiter cette vulnérabilité dans une chaîne d’attaque lors du processus d’installation pour élever ses privilèges à ceux d’un utilisateur SYSTEM.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Programmes d’installation de Zoom Client for Meetings pour administrateurs informatiques pour Windows antérieurs à la version 5.13.5

Source: Signalé par sim0nsecurity

ZSB-23002 03/14/2023 Déni de service dans les clients Zoom Medium CVE-2023-22881
CVE-2023-22882

Severity: Medium

CVSS Score: 6.5

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Description: Les clients Zoom antérieurs à la version 5.13.5 présentent une vulnérabilité liée à l’analyse STUN. Une personne malveillante pourrait diriger du trafic UDP élaboré à cet effet, vers un client Zoom victime pour provoquer à distance l’arrêt de celui-ci, entraînant un déni de service.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Clients Zoom (pour Android, iOS, Linux, macOS et Windows) antérieurs à la version 5.13.5

Source: Signalé par l'Équipe de sécurité offensive Zoom

ZSB-23001 03/14/2023 Divulgation d’informations dans les clients Zoom for Windows Medium CVE-2023-22880

Severity: Medium

CVSS Score: 6.8

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N

Description: Les clients Zoom for Windows antérieurs à la version 5.13.3, les clients Zoom Rooms for Windows antérieurs à la version 5.13.5 et les clients Zoom VDI for Windows antérieurs à la version 5.13.1 présentent une vulnérabilité liée à la divulgation d’informations. Une mise à jour récente de Microsoft Edge WebView2 Runtime utilisé par les clients Zoom concernés, transmettait le texte au service de vérification orthographique en ligne de Microsoft, au lieu du vérificateur d’orthographe Windows local. La mise à jour de Zoom élimine cette vulnérabilité en désactivant la fonction. Mettre à jour Microsoft Edge WebView2 Runtime vers la version 109.0.1481.0 au minimum et redémarrer Zoom élimine cette vulnérabilité en mettant à jour les paramètres de télémétrie de Microsoft.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Clients Zoom for Windows antérieurs à la version 5.13.3
  • Clients Zoom Rooms for Windows antérieurs à la version 5.13.3
  • Clients Zoom VDI pour Windows antérieurs à la version 5.13.1

Source: Signalé par l'Équipe de sécurité de Zoom

ZSB-22035 01/06/2023 Élévation locale de privilèges dans les programmes d’installation de Zoom Rooms for Windows High CVE-2022-36930

Severity: High

CVSS Score: 8.2

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Description: Les programmes d’installation de Zoom Rooms for Windows antérieurs à la version 5.13.0 présentent une vulnérabilité entraînant l’élévation locale de privilèges. Un utilisateur local à faibles privilèges pourrait exploiter cette vulnérabilité dans une chaîne d’attaque pour élever ses privilèges à ceux d’un utilisateur SYSTEM.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Programmes d’installation de Zoom Rooms for Windows antérieurs à la version 5.13.0

Source: Signalé par sim0nsecurity

ZSB-22034 01/06/2023 Élévation locale de privilèges dans les clients Zoom Rooms for Windows High CVE-2022-36929

Severity: High

CVSS Score: 7.8

CVSS Vector String: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Les clients Zoom Rooms for Windows antérieurs à la version 5.12.7 présentent une vulnérabilité entraînant l’élévation locale de privilèges. Un utilisateur local à faibles privilèges pourrait exploiter cette vulnérabilité dans une chaîne d’attaque pour élever ses privilèges à ceux d’un utilisateur SYSTEM.
Les utilisateurs peuvent garantir leur sécurité en appliquant les mises à jour actuelles ou en téléchargeant le dernier logiciel Zoom avec toutes les mises à jour de sécurité actuelles depuis https://zoom.us/download

Affected Products:

  • Clients Zoom Rooms for Windows antérieurs à la version 5.12.7

Source: Signalé par sim0nsecurity

ZSB-22033 01/06/2023 Traversée de chemins d’accès dans les clients Zoom for Android Critical CVE-2022-36928

Severity: Critical

CVSS Score: 6.1

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N

Description: Les clients Zoom for Android antérieurs à la version 5.13.0 présentent une vulnérabilité liée à la traversée des chemins d’accès. Une application tierce pourrait exploiter cette vulnérabilité pour effectuer des opérations de lecture/écriture dans le répertoire de données de l’application Zoom.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Clients Zoom for Android antérieurs à la version 5.13.0

Source: Signalé par Dimitrios Valsamaras de Microsoft

ZSB-22032 01/06/2023 Élévation locale de privilèges dans les clients Zoom Rooms for macOS Critical CVE-2022-36926
CVE-2022-36927

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Les clients Zoom Rooms for macOS antérieurs à la version 5.11.3 présentent une vulnérabilité entraînant l’élévation locale de privilèges. Un utilisateur local à faibles privilèges pourrait exploiter cette vulnérabilité pour élever ses privilèges à ceux d'un utilisateur racine.
Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Clients Zoom for macOS antérieurs à la version 5.11.3

Source: Signalé par Kirin (Pwnrin)

ZSB-22031 01/06/2023 Génération de clés non sécurisée pour les clients Zoom Rooms for macOS Critical CVE-2022-36925

Severity: Critical

CVSS Score: 4.4

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

Description: Les clients Zoom Rooms for macOS antérieurs à la version 5.11.4 contiennent un mécanisme de génération de clés non sécurisé. La clé de chiffrement utilisée pour IPC entre le service daemon Zoom Rooms et le client Zoom Rooms a été générée à l’aide de paramètres pouvant être obtenus par une application locale à faibles privilèges. Cette clé peut ensuite être utilisée pour interagir avec le service daemon afin d’exécuter des fonctions nécessitant des privilèges et entraîner un déni de service local.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Zoom Rooms for macOS avant la version 5.11.4

Source: Signalé par Kirin (Pwnrin)

ZSB-22030 11/15/2022 Élévation locale de privilèges dans le programme d’installation de Zoom Rooms pour Windows Critical CVE-2022-36924

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Les versions du programme d’installation de Zoom Rooms pour Windows antérieures à 5.12.6 contiennent une vulnérabilité entraînant une élévation locale de privilèges. Un utilisateur local à faibles privilèges pourrait exploiter cette vulnérabilité lors du processus d’installation pour élever ses privilèges à ceux d'un utilisateur SYSTEM.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Programme d’installation de Zoom Rooms pour Windows avant la version 5.12.6

Source: Signalé par sim0nsecurity

ZSB-22029 11/15/2022 Élévation locale de privilèges dans le programme d’installation du client Zoom pour macOS Critical CVE-2022-28768

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Les versions du programme d’installation de Zoom Client for Meetings pour macOS antérieures à 5.12.6 contiennent une vulnérabilité entraînant l’élévation locale de privilèges. Un utilisateur local à faibles privilèges pourrait exploiter cette vulnérabilité pour disposer du maximum de privilèges.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Programme d’installation de Zoom Client for Meetings pour macOS (standard et pour administrateur d’informatique) avant la version 5.12.6

Source: Signalé par Koh M. Nakagawa (tsunekoh)

ZSB-22027 11/15/2022 Injection de DLL dans les clients Zoom pour Windows Critical CVE-2022-28766

Severity: Critical

CVSS Score: 8.1

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L

Description: Les versions 32 bits de Zoom Client for Meetings antérieures à 5.12.6 et de Zoom Rooms pour salles de conférence antérieures à 5.12.6 sont susceptibles de contenir une vulnérabilité d’injection de DLL. Un utilisateur local à faibles privilèges pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire dans le contexte du client Zoom.

Les utilisateurs peuvent garantir leur sécurité en appliquant les mises à jour actuelles ou en téléchargeant le dernier logiciel Zoom avec toutes les mises à jour de sécurité actuelles depuis https://zoom.us/download

Affected Products:

  • Zoom Client for Meetings pour Windows (32 bits) avant la version 5.12.6
  • Zoom Client for Meetings pour VDI Windows (32 bits) avant la version 5.12.6
  • Zoom Rooms pour salles de conférence pour Windows (32 bits) avant la version 5.12.6

Source: Signalé par sim0nsecurity

ZSB-22025 11/10/2022 Exposition des informations locales dans les clients Zoom Critical CVE-2022-28764

Severity: Critical

CVSS Score: 3.3

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Description: Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) avant la version 5.12.6 est susceptible de contenir une vulnérabilité d’exposition des informations locales.

L’échec de l’effacement des données d’une base de données SQL locale à la fin d’une réunion et l’utilisation d’une clé par appareil insuffisamment sécurisée chiffrant cette base de données permettent à un utilisateur local malveillant d’obtenir des informations de réunion (par exemple, le chat en réunion pour la réunion précédente à laquelle vous avez assisté à partir du compte d’utilisateur local).

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • La version de Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) avant la version 5.12.6
  • Zoom Client for Meetings pour VDI Windows avant la version 5.12.6
  • Zoom Rooms pour salles de conférence (pour Android, iOS, Linux, macOS et Windows) avant la version 5.12.6

Source: Signalé par Christian Zäske (SySS GmbH)

ZSB-22024 10/24/2022 Analyse incorrecte des URL dans les clients Zoom Critical CVE-2022-28763

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Description: Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) avant la version 5.12.2 est susceptible de contenir une vulnérabilité d’analyse d’URL. Si une URL de réunion Zoom malveillante est ouverte, le lien malveillant peut diriger l’utilisateur vers une adresse réseau arbitraire, conduisant à des attaques supplémentaires, y compris des prises de contrôle de session.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • La version de Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) avant la version 5.12.2
  • Zoom Client for Meetings pour VDI Windows avant la version 5.12.2
  • Zoom Rooms pour salles de conférence (pour Android, iOS, Linux, macOS et Windows) avant la version 5.12.2

Source: Signalé par l'Équipe de sécurité de Zoom

ZSB-22023 10/11/2022 Mauvaise configuration du port de débogage de Zoom Apps dans Zoom Client for Meetings pour macOS Critical CVE-2022-28762

Severity: Critical

CVSS Score: 7.3

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

Description: Zoom Client for Meetings pour macOS (version Standard et celle destinée aux administrateurs informatiques), à partir de la version 5.10.6 et avant la version 5.12.0, contient une mauvaise configuration du port de débogage. Lorsque le contexte de rendu en mode caméra est activé dans le cadre de l'API Zoom App Layers via l'exécution de certaines applications Zoom, un port de débogage local est ouvert par le client Zoom. Un utilisateur local malveillant peut alors utiliser ce port pour se connecter aux applications Zoom s'exécutant dans le client Zoom et les contrôler.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings pour macOS (version Standard et celle destinée aux administrateurs informatiques), à partir de la version 5.10.6 et avant la version 5.12.0

Source: Signalé par l'Équipe de sécurité de Zoom

ZSB-22022 10/11/2022 Déploiements Zoom sur site : contrôle d'accès inapproprié Critical CVE-2022-28761

Severity: Critical

CVSS Score: 6.5

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Description: Le connecteur de réunion Zoom sur site MMR avant la version 4.8.20220916.131 contient une vulnérabilité de contrôle d'accès inapproprié. De ce fait, une personne malveillante autorisée à rejoindre une réunion ou un webinaire peut empêcher les participants de capter l'audio et la vidéo, provoquant ainsi des perturbations lors de la réunion.

Pour les déploiements Zoom sur site, les administrateurs de compte peuvent vous aider à maintenir leur logiciel Zoom à jour en procédant comme suit : https://support.zoom.us/hc/en-us/articles/360043960031

Affected Products:

  • Connecteur de réunion Zoom sur site MMR avant la version 4.8.20220916.131

Source: Signalé par l'Équipe de sécurité offensive Zoom

ZSB-22021 09/13/2022 Déploiements Zoom sur site : contrôle d'accès inapproprié Critical CVE-2022-28760

Severity: Critical

CVSS Score: 6.5

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Description: Le connecteur de réunion Zoom sur site MMR avant la version 4.8.20220815.130 contient une vulnérabilité de contrôle d'accès inapproprié. Par conséquent, une personne malveillante peut participer à une réunion à laquelle elle est autorisée à participer sans apparaître aux autres participants.

Pour les déploiements Zoom sur site, les administrateurs de compte peuvent vous aider à maintenir leur logiciel Zoom à jour en procédant comme suit : https://support.zoom.us/hc/en-us/articles/360043960031

Affected Products:

  • Connecteurs de réunion Zoom sur site MMR avant la version 4.8.20220815.130

Source: Signalé par l'Équipe de sécurité offensive Zoom

ZSB-22020 09/13/2022 Déploiements Zoom sur site : contrôle d'accès inapproprié Critical CVE-2022-28758
CVE-2022-28759

Severity: Critical

CVSS Score: 8.2

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Description: Le connecteur de réunion Zoom sur site MMR avant la version 4.8.20220815.130 contient une vulnérabilité de contrôle d'accès inapproprié. Par conséquent, une personne malveillante pourrait obtenir le flux audio et vidéo d’une réunion à laquelle elle n’est pas autorisée à participer et perturber la réunion.

Pour les déploiements Zoom sur site, les administrateurs de compte peuvent vous aider à maintenir leur logiciel Zoom à jour en procédant comme suit : https://support.zoom.us/hc/en-us/articles/360043960031

Affected Products:

  • Connecteurs de réunion Zoom sur site MMR avant la version 4.8.20220815.130

Source: Signalé par l'Équipe de sécurité de Zoom

ZSB-22019 08/17/2022 Élévation locale de privilèges dans le programme de mise à jour automatique pour Zoom Client for Meetings pour macOS Critical CVE-2022-28757

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Le Zoom Client for Meetings pour macOS (Standard et pour administrateur de compte) à partir de la version 5.7.3 et antérieure à 5.11.6 contient une vulnérabilité dans le processus de mise à jour automatique. Un utilisateur local à faibles privilèges pourrait exploiter cette vulnérabilité pour élever ses privilèges à ceux d'un utilisateur racine.

Remarque : ce problème permet de contourner le correctif publié dans la version 5.11.5 pour traiter la CVE-2022-28756.

Les utilisateurs peuvent se protéger en appliquant les mises à jour actuelles ou en téléchargeant la dernière version du logiciel Zoom avec toutes les mises à jour de sécurité actuelles de https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings pour MacOS (Standard et pour administrateur de compte) à partir de la version 5.7.3 et avant la version 5.11.6

Source: Signalé par Csaba Fitzl (theevilbit) de Offensive Security

ZSB-22018 08/13/2022 Élévation locale de privilèges dans le programme de mise à jour automatique pour les produits MacOS Zoom [Updated 2022-09-13] Critical CVE-2022-28756

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Le Zoom Client for Meetings pour macOS (Standard et pour administrateur de compte) à partir de la version 5.7.3 et antérieure à 5.11.5 et Zoom Rooms pour salle de conférence pour macOS antérieur à la version 5.11.6 contient une vulnérabilité dans le processus de mise à jour automatique. Un utilisateur local à faibles privilèges pourrait exploiter cette vulnérabilité pour élever ses privilèges à ceux d'un utilisateur racine.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

*Modifications - 13/09/2022 - Mise à jour du titre, de la description et ajout de Zoom Rooms à la section « Produits concernés ».

Affected Products:

  • Zoom Client for Meetings pour MacOS (Standard et pour administrateur de compte) à partir de la version 5.7.3 et avant la version 5.11.5
  • Zoom Rooms pour salles de conférence pour macOS avant la version 5.11.6

Source: Signalé par Patrick Wardle de Objective-See

ZSB-22017 08/09/2022 Élévation locale de privilèges dans Zoom Client for Meetings pour macOS Critical CVE-2022-28751

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Le Zoom Client for Meetings pour macOS (Standard et pour administrateur de compte) avant la version 5.11.3 contient une vulnérabilité dans la validation de la signature du package lors du processus de mise à jour. Un utilisateur local à faibles privilèges pourrait exploiter cette vulnérabilité pour élever ses privilèges à ceux d'un utilisateur racine.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings pour MacOS (Standard et pour administrateur de compte) avant la version 5.11.3

Source: Signalé par Patrick Wardle de Objective-See

ZSB-22014 08/09/2022 Déploiements Zoom sur site : contrôle d'accès inapproprié Critical CVE-2022-28753
CVE-2022-28754

Severity: Critical

CVSS Score: 7.1

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N

Description: Le connecteur de réunion Zoom sur site MMR avant la version 4.8.129.20220714 contient une vulnérabilité de contrôle d'accès inapproprié. Par conséquent, une personne malveillante peut participer à une réunion à laquelle elle est autorisée à participer sans apparaître aux autres participants, peut s'admettre dans la réunion depuis la salle d'attente, et peut devenir l'hôte et provoquer d'autres perturbations de la réunion.

Pour les déploiements Zoom sur site, les administrateurs de compte peuvent vous aider à maintenir leur logiciel Zoom à jour en procédant comme suit : https://support.zoom.us/hc/en-us/articles/360043960031

Affected Products:

  • Connecteurs de réunion Zoom sur site MMR avant la version 4.8.129.20220714

Source: Signalé par l'Équipe de sécurité offensive Zoom

ZSB-22016 08/09/2022 Analyse incorrecte des URL dans les clients Zoom [Updated 2022-10-24] Critical CVE-2022-28755

Severity: Critical

CVSS Score: 9.6

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Description: Le Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) avant la version 5.11.0 est susceptible d'être exposé à une vulnérabilité d'analyse d'URL. Si une URL de réunion Zoom malveillante est ouverte, le lien malveillant peut amener l’utilisateur à se connecter à une adresse réseau arbitraire. Cela peut entraîner des attaques supplémentaires, notamment l’exécution de code à distance via le lancement d'exécutables à partir de chemins arbitraires.

* Modifications - 24/10/2022 - Ajout de Zoom Rooms à la section « Produits concernés ».

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • La version de Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) avant la version 5.11.0
  • Zoom Client for Meetings pour VDI Windows avant la version 5.10.7
  • Zoom Rooms pour salles de conférence (pour Android, iOS, Linux, macOS et Windows) avant la version 5.11.0

Source: Signalé par l'Équipe de sécurité de Zoom

ZSB-22013 08/09/2022 Élévation locale de privilèges dans le client Zoom Rooms pour Windows Critical CVE-2022-28752

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Les versions Zoom Rooms pour salles de conférence pour Windows antérieures à 5.11.0 sont susceptibles d'être exposées à une vulnérabilité d'élévation locale de privilèges. Un utilisateur local malveillant à faibles privilèges pourrait exploiter cette vulnérabilité pour élever ses privilèges à ceux d'un utilisateur SYSTEM.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Zoom Rooms pour salles de conférence Windows avant la version 5.11.0

Source: Signalé par sim0nsecurity

ZSB-22012 08/09/2022 Déploiements Zoom sur site : débordement de la mémoire tampon de la pile dans le connecteur de réunion Critical CVE-2022-28750

Severity: Critical

CVSS Score: 7.5

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Description: Le contrôleur de zone (ZC) du connecteur de réunion Zoom sur site avant la version 4.8.20220419.112 ne parvient pas à analyser correctement les codes d'erreur STUN, ce qui peut entraîner une corruption de la mémoire et permettre à une personne malveillante de planter l'application. Dans les versions antérieures à 4.8.12.20211115, cette vulnérabilité pourrait également être exploitée pour exécuter du code arbitraire.

Pour les déploiements Zoom sur site, les administrateurs de compte peuvent aider à maintenir leur logiciel Zoom à jour en suivant ces conseils :

https://support.zoom.us/hc/en-us/articles/360043960031

Affected Products:

  • Contrôleur de zone (ZC) du connecteur de réunion sur site Zoom avant la version 4.8.20220419.112

Source: Signalé par l'Équipe de sécurité offensive Zoom

ZSB-22011 06/14/2022 Vérification insuffisante des autorisations lors de la participation à une réunion Critical CVE-2022-28749

Severity: Critical

CVSS Score: 6.5

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Description: Le MMR du connecteur de réunion sur site de Zoom avant la version 4.8.113.20220526 ne vérifie pas correctement les autorisations d’un participant à une réunion Zoom. Par conséquent, un attaquant peut être admis à la réunion depuis la salle d'attente Zoom sans le consentement de l’hôte.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Connecteurs de réunion sur site avant la version 4.8.113.20220526

Source: Signalé par l'Équipe de sécurité offensive Zoom

ZSB- 22010 06/14/2022 Injection de DLL dans le programme d’installation de Zoom Opener pour les appareils Zoom et Zoom Rooms Critical CVE-2022-22788

Severity: Critical

CVSS Score: 7.1

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

Description: Le programme d’installation de Zoom Opener est téléchargé par un utilisateur à partir de la page Lancer une réunion, lorsqu’il tente de participer à une réunion sans avoir installé Zoom Client for Meetings. Le programme d’installation de Zoom Opener pour Zoom Client for Meetings avant la version 5.10.3 et Zoom Rooms pour salles de conférence pour Windows avant la version 5.10.3 sont susceptibles d’être attaqués par injection de DLL. Cette vulnérabilité pourrait être utilisée pour exécuter un code arbitraire sur l’hôte de la victime.

Les utilisateurs peuvent se protéger de ce problème en supprimant les anciennes versions du programme d’installation de Zoom Opener et en exécutant la dernière version du programme d’installation de Zoom Opener à partir du bouton « Télécharger maintenant » sur la page « Lancer la réunion ». Les utilisateurs peuvent aussi se protéger de ce problème en téléchargeant le dernier logiciel Zoom avec toutes les mises à jour de sécurité actuelles depuis https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings pour Windows avant la version 5.10.3
  • Toutes les versions Zoom Rooms pour salles de conférence pour Windows antérieures à la version 5.10.3

Source: Signalé par James Tsz Ko Yeung

ZSB-22009 05/17/2022 La validation du nom de l'hôte n'est pas suffisante lors d'un changement de serveur dans Zoom Client for Meetings Critical CVE-2022-22787

Severity: Critical

CVSS Score: 5.9

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Description: La version de Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) antérieure à la version 5.10.0 ne parvient pas à valider correctement le nom de l'hôte au cours d'une demande de changement de serveur. Ce problème pourrait être exploité dans le cadre d'une attaque plus sophistiquée pour inciter le client d’un utilisateur sans méfiance à se connecter à un serveur malveillant lorsqu’il tente d’utiliser les services Zoom.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • La version de Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) antérieure à la version 5.10.0

Source: Signalé par Ivan Fratric de Google Project Zero

ZSB-22008 05/17/2022 Mettre à jour la mise à niveau du package dans Zoom Client for Meetings pour Windows Critical CVE-2022-22786

Severity: Critical

CVSS Score: 7.5

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Description: La version de Zoom Client for Meetings pour Windows antérieure à la version 5.10.0 et de Zoom Rooms pour salles de conférence pour Windows antérieure à la version 5.10.0 ne parvient pas à vérifier correctement la version d’installation pendant le processus de mise à jour. Ce problème pourrait être exploité dans le cadre d'une attaque plus sophistiquée pour inciter un utilisateur à rétrograder son client Zoom vers une version moins sécurisée.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Toutes les versions de Zoom Client for Meetings pour Windows antérieures à la version 5.10.0
  • Toutes les versions Zoom Rooms pour salles de conférence pour Windows antérieures à la version 5.10.0

Source: Signalé par Ivan Fratric de Google Project Zero

ZSB-22007 05/17/2022 Cookies de session mal définis dans Zoom Client for Meetings Critical CVE-2022-22785

Severity: Critical

CVSS Score: 5.9

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Description: La version de Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) antérieure à la version 5.10.0 ne parvient pas à restreindre correctement les cookies de session client aux domaines Zoom. Ce problème pourrait être exploité dans le cadre d'une attaque plus sophistiquée pour envoyer les cookies de session Zoom d’un utilisateur à un domaine non-Zoom. Cela pourrait potentiellement permettre l’usurpation d’identité d’un utilisateur Zoom.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • La version de Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) antérieure à la version 5.10.0

Source: Signalé par Ivan Fratric de Google Project Zero

ZSB- 22006 05/17/2022 Analyse XML incorrecte dans Zoom Client for Meetings Critical CVE-2022-22784

Severity: Critical

CVSS Score: 8.1

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Description: La version de Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) antérieure à la version 5.10.0 ne parvient pas à analyser correctement les blocs XML dans les messages XMPP. Cela peut permettre à un utilisateur malveillant de sortir du contexte de message XMPP actuel et de créer un nouveau contexte de message pour que le client de l’utilisateur récepteur effectue diverses actions. Ce problème pourrait être exploité dans le cadre d'une attaque plus sophistiquée pour falsifier des messages XMPP à partir du serveur.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • La version de Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) antérieure à la version 5.10.0

Source: Signalé par Ivan Fratric de Google Project Zero

ZSB- 22005 04/27/2022 Exposition de la mémoire du processus dans les services de réunions sur site de Zoom Critical CVE-2022-22783

Severity: Critical

CVSS Score: 8.3

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/CR:H

Description: Une vulnérabilité dans la version 4.8.102.20220310 des Contrôleurs de connecteurs de réunion sur site Zoom et la version 4.8.102.20220310 des connecteurs de réunion sur site MMR expose des fragments de mémoire du processus aux clients connectés, susceptibles d'être observés par un attaquant passif.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles.

Affected Products:

  • Contrôleurs de connecteurs de réunion sur site Zoom version 4.8.102.20220310
  • Connecteurs de réunion Zoom sur site MMR avant la version 4.8.102.20220310

Source: Équipe de sécurité offensive Zoom

ZSB-22004 04/27/2022 Élévation locale de privilèges dans les Clients Zoom pour Windows Critical CVE-2022-22782

Severity: Critical

CVSS Score: 7.9

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

Description: Les versions Zoom Client for Meetings pour Windows antérieures à la version 5.9.7, les versions Zoom Rooms pour les salles de conférence pour Windows antérieures à la version 5.10.0, les plug-ins Zoom pour Microsoft Outlook pour Windows avant la version 5.10.3 et les versions Zoom Client for Meetings pour VDI Windows antérieures à la version 5.9.6 étaient sensibles à un problème d'élévation locale des privilèges pendant l’opération de réparation du programme d’installation. Une personne malveillante pouvait exploiter ce problème pour supprimer des fichiers ou des dossiers au niveau du système, ce qui entraînait des problèmes d’intégrité ou de disponibilité sur la machine hôte de l’utilisateur.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Toutes les versions Zoom Client for Meetings pour Windows antérieures à la version 5.9.7
  • Toutes les versions Zoom Rooms pour salles de conférence pour Windows antérieures à la version 5.10.0
  • Toutes les versions Plug-in Zoom pour Microsoft Outlook pour Windows antérieures à la version 5.10.3
  • Toutes les versions Zoom Client for Meetings pour VDI Windows antérieures à la version 5.9.6

Source: Signalé par Zero Day Initiative

ZSB-22003 04/27/2022 Mettre à jour la mise à niveau du package dans Zoom Client for Meetings pour macOS Critical CVE-2022-22781

Severity: Critical

CVSS Score: 7.5

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Description: Les versions Zoom Client for Meetings pour macOS (Standard et pour administrateur de compte) antérieures à la version 5.9.6 ne pouvaient pas vérifier correctement la version du package pendant le processus de mise à jour. Une personne malveillante pouvait mettre à jour la version d’un utilisateur peu méfiant vers une version moins sécurisée.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Tous les Zoom Client for Meetings pour macOS (standard et pour administrateur de compte) antérieurs à la version 5.9.6

Source: Signalé par Patrick Wardle de Objective-See

ZSB-22002 02/08/2022 Zoom Team Chat sensible aux bombes de décompression Critical CVE-2022-22780

Severity: Critical

CVSS Score: 4.7

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L

Description: Dans les versions de produit suivantes, la fonctionnalité de chat du Zoom Client for Meetings est exposée aux bombes de décompression : Android, version antérieure à la 5.8.6 ; iOS, version antérieure à la 5.9.0 ; Linux, version antérieure à la 5.8.6 ; macOS, version antérieure à la 5.7.3 ; et Windows, version antérieure à la 5.6.3. Cela pourrait entraîner des problèmes de disponibilité sur l’hôte du client en raison de l’épuisement des ressources du système.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Toutes les versions de Zoom Client for Meetings pour Android avant la version 5.8.6
  • Toutes les versions de Zoom Client for Meetings pour iOS avant la version 5.9.0
  • Toutes les versions de Zoom Client for Meetings pour Linux avant la version 5.8.6
  • Toutes les versions de Zoom Client for Meetings pour macOS avant la version 5.7.3
  • Toutes les versions de Zoom Client for Meetings pour Windows avant la version 5.6.3

Source: Signalé par Johnny Yu de Walmart Global Tech

ZSB-22001 02/08/2022 Messages éclatés conservés dans les clients Keybase pour macOS et Windows Critical CVE-2022-22779

Severity: Critical

CVSS Score: 3.7

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Description: Les versions antérieures à la 5.9.0 des clients Keybase pour macOS et Windows ne suppriment pas correctement les messages éclatés à l’initiative d’un utilisateur. Cela peut se produire si l’utilisateur recevant les messages passe à une fonctionnalité hors chat et met l’hôte en veille avant que l’expéditeur éclate les messages. Ce problème pourrait entraîner la divulgation d’informations confidentielles qui auraient dû être supprimées du système de fichiers d’un utilisateur.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Keybase accompagnée de toutes les mises à jour de sécurité actuelles sur https://keybase.io/download.

Affected Products:

  • Tous les clients Keybase pour macOS et Windows avant la version 5.9.0

Source: Signalé par Olivia O’Hara

ZSB-21022 12/14/2021 Exécution arbitraire de commandes dans le client Keybase pour Windows Critical CVE-2021-34426

Severity: Critical

CVSS Score: 5.3

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

Description: Une vulnérabilité a été découverte dans les versions antérieures à 5.6.0 du client Keybase pour Windows lorsque l’utilisateur exécute la commande « keybase git lfs-config » dans la console. Dans les versions antérieures à 5.6.0, une personne malveillante disposant de privilèges d’écriture sur le référentiel Git d’un utilisateur pouvait exploiter cette vulnérabilité pour exécuter des commandes Windows arbitraires sur le système local de cet utilisateur.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Keybase accompagnée de toutes les mises à jour de sécurité actuelles sur https://keybase.io/download.

Affected Products:

  • Tous les clients Keybase pour Windows avant la version 5.6.0

Source: Signalé par RyotaK

ZSB-21021 12/14/2021 Falsification de requête côté serveur dans le chat Zoom Client for Meetings Critical CVE-2021-34425

Severity: Critical

CVSS Score: 4.7

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N

Description: Les versions antérieures à 5.7.3 du Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) contiennent une vulnérabilité de falsification de requête côté serveur dans la fonctionnalité « Aperçu du lien » du chat. Dans les versions antérieures à 5.7.3, lorsqu'un utilisateur activait la fonctionnalité « Aperçu du lien » dans le chat, une personne malveillante pouvait l'amener à envoyer des requêtes HTTP GET arbitraires à des URL auxquelles elle n’avait pas directement accès.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Toutes les versions de Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) avant la version 5.7.3

Source: Signalé par Johnny Yu de Walmart Global Tech

ZSB-21020 11/24/2021 Exposition de la mémoire processus dans le client Zoom et d’autres produits Critical CVE-2021-34424

Severity: Critical

CVSS Score: 5.3

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Description: Une vulnérabilité a été découverte dans la liste de produits de la rubrique « Produits concernés » du présent bulletin. Celle-ci a potentiellement exposé l’état de la mémoire processus. Ce problème peut être exploité pour obtenir des informations sur des zones arbitraires de la mémoire du produit.

Zoom a corrigé ce problème dans les dernières versions des produits listés dans la rubrique ci-dessous. Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles.

Affected Products:

  • Versions antérieures à 5.8.4 du Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows)
  • Zoom Client for Meetings pour Blackberry (pour Android et iOS) avant la version 5.8.1
  • Zoom Client for Meetings pour intune (pour Android et iOS) avant la version 5.8.4
  • Zoom Client for Meetings pour Chrome OS avant la version 5.0.1
  • Zoom Rooms pour salles de conférence (pour Android, AndroidBali, macOS et Windows) avant la version 5.8.3
  • Contrôleurs pour Zoom Rooms (pour Android, iOS et Windows) avant la version  5.8.3
  • Zoom Client for Meetings pour VDI Windows avant la version 5.8.4
  • Modules d’extension Zoom pour VDI Azure Virtual Desktop (pour Windows x86 ou x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) avant la version 5.8.4.21112
  • Modules d’extension Zoom pour VDI Citrix (pour Windows x86 ou x64, Mac Universal Installer et Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x64, Dell ThinOS) avant la version 5.8.4.21112
  • Modules d’extension Zoom pour VDI VMware (pour Windows x86 ou x64, Mac Universal Installer et Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x64, Dell ThinOS) avant la version 5.8.4.21112
  • Zoom Meeting SDK pour Android avant la version 5.7.6.1922
  • Zoom Meeting SDK pour iOS avant la version 5.7.6.1082
  • Zoom Meeting SDK pour Windows avant la version 5.7.6.1081
  • Zoom Meeting SDK pour Mac avant la version 5.7.6.1340
  • Zoom Video SDK (pour Android, iOS, macOS et Windows) avant la version 1.1.2
  • Connecteurs de réunion Zoom sur site avant la version 4.8.12.20211115
  • Connecteurs de réunion Zoom sur site MMR avant la version 4.8.12.20211115
  • Connecteurs d’enregistrement Zoom sur site avant la version 5.1.0.65.20211116
  • Connecteurs de salle virtuelle Zoom sur site avant la version 4.4.7266.20211117
  • Équilibreurs de charge des connecteurs de salle virtuelle Zoom sur site avant la version 2.5.5692.20211117
  • Zoom Hybrid Zproxy avant la version 1.0.1058.20211116
  • Zoom Hybrid MMR avant la version 4.6.20211116.131_x86-64

Source: Signalé par Natalie Silvanovich de Google Project Zero

ZSB-21019 11/24/2021 Débordement de la mémoire tampon dans le client Zoom et d’autres produits Critical CVE-2021-34423

Severity: Critical

CVSS Score: 7.3

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Description: Une vulnérabilité de débordement de la mémoire tampon a été découverte dans la liste des produits de la rubrique « Produits concernés » du présent bulletin. Celle-ci pourrait permettre à une personne malveillante de faire planter le service ou l’application ou encore d’exécuter un code arbitraire.

Zoom a corrigé ce problème dans les dernières versions des produits listés dans la rubrique ci-dessous. Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles.

Affected Products:

  • Versions antérieures à 5.8.4 du Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows)
  • Zoom Client for Meetings pour Blackberry (pour Android et iOS) avant la version 5.8.1
  • Zoom Client for Meetings pour intune (pour Android et iOS) avant la version 5.8.4
  • Zoom Client for Meetings pour Chrome OS avant la version 5.0.1
  • Zoom Rooms pour salles de conférence (pour Android, AndroidBali, macOS et Windows) avant la version 5.8.3
  • Contrôleurs pour Zoom Rooms (pour Android, iOS et Windows) avant la version  5.8.3
  • Zoom Client for Meetings pour VDI Windows avant la version 5.8.4
  • Modules d’extension Zoom pour VDI Azure Virtual Desktop (pour Windows x86 ou x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) avant la version 5.8.4.21112
  • Modules d’extension Zoom pour VDI Citrix (pour Windows x86 ou x64, Mac Universal Installer et Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x64, Dell ThinOS) avant la version 5.8.4.21112
  • Modules d’extension Zoom pour VDI VMware (pour Windows x86 ou x64, Mac Universal Installer et Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x64, Dell ThinOS) avant la version 5.8.4.21112
  • Zoom Meeting SDK pour Android avant la version 5.7.6.1922
  • Zoom Meeting SDK pour iOS avant la version 5.7.6.1082
  • Zoom Meeting SDK pour macOS avant la version 5.7.6.1340
  • Zoom Meeting SDK pour Windows avant la version 5.7.6.1081
  • Zoom Video SDK (pour Android, iOS, macOS et Windows) avant la version 1.1.2
  • Contrôleurs de connecteur de réunion Zoom sur site avant la version 4.8.12.20211115
  • Connecteurs de réunion Zoom sur site MMR avant la version 4.8.12.20211115
  • Connecteurs d’enregistrement Zoom sur site avant la version 5.1.0.65.20211116
  • Connecteurs de salle virtuelle Zoom sur site avant la version 4.4.7266.20211117
  • Équilibreurs de charge des connecteurs de salle virtuelle Zoom sur site avant la version 2.5.5692.20211117
  • Zoom Hybrid Zproxy avant la version 1.0.1058.20211116
  • Zoom Hybrid MMR avant la version 4.6.20211116.131_x86-64

Source: Source : Signalé par Natalie Silvanovich de Google Project Zero

ZSB-21018 11/09/2021 Traversée de chemins d’accès pour les noms de fichiers sur le client Keybase pour Windows Critical CVE-2021-34422

Severity: Critical

CVSS Score: 7.2

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

Description: Les versions antérieures à 5.7.0 du client Keybase pour Windows contiennent une vulnérabilité au niveau de la traversée des chemins d’accès lors de la vérification du nom d’un fichier téléchargé sur un dossier partagé par une équipe. Une personne malveillante pourrait télécharger sur un dossier partagé un fichier dont le nom a été spécifiquement conçu pour qu’un utilisateur exécute involontairement une application sur sa machine hôte. Si un utilisateur malveillant venait à exploiter cette faille avec la fonctionnalité de partage de dossiers publics du client Keybase, cela pourrait lui permettre d’exécuter du code à distance.

Keybase a corrigé ce problème dans la version 5.7.0 du client Keybase pour Windows. Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Keybase accompagnée de toutes les mises à jour de sécurité actuelles sur https://keybase.io/download.

Affected Products:

  • Tous les clients Keybase pour Windows avant la version 5.7.0

Source: Signalé par m4t35z

ZSB-21017 11/09/2021 Messages éclatés conservés dans les clients Keybase pour Android et iOS Critical CVE-2021-34421

Severity: Critical

CVSS Score: 3.7

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Description: Les versions antérieures à 5.8.0 des clients Keybase pour Android et pour iOS ne suppriment pas correctement les messages éclatés par l’utilisateur si l’utilisateur recevant les messages met la session de chat en arrière-plan pendant que l’expéditeur éclate les messages. Ce processus peut entraîner la divulgation d’informations confidentielles qui auraient dû être supprimées de l’appareil du client.

Keybase a corrigé ce problème dans la version 5.8.0 du client Keybase pour Android et dans la version 5.8.0 du client Keybase pour iOS. Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Keybase accompagnée de toutes les mises à jour de sécurité actuelles sur https://keybase.io/download.

Affected Products:

  • Tous les clients Keybase pour Android avant la version 5.8.0
  • Tous les clients Keybase pour iOS avant la version 5.8.0

Source: Signalé par Olivia O'Hara, John Jackson, Jackson Henry et Robert Willis

ZSB-21016 11/09/2021 Contournement de la signature de l’exécutable d’installation de Zoom pour Windows Critical CVE-2021-34420

Severity: Critical

CVSS Score: 4.7

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N

Description: Les versions antérieures à 5.5.4 de l’installeur pour Windows de Zoom Client for Meetings ne vérifient pas correctement la signature des fichiers avec une extension .msi, .ps1 ou .bat. Une personne malveillante pourrait exploiter ceci et installer des logiciels malveillants sur l’ordinateur d’un client.

Zoom a corrigé ce problème dans la version 5.5.4 du Zoom Client for Meetings pour Windows. Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Toutes les versions de Zoom Client for Meetings pour Windows avant la version 5.5.4

Source: Signalé par Laurent Delosieres de ManoMano

ZSB-21015 11/09/2021 Injection HTML dans le client Zoom pour Linux Critical CVE-2021-34419

Severity: Critical

CVSS Score: 3.7

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

Description: Les versions antérieures à 5.1.0 du Zoom Client for Meetings pour Linux Ubuntu contiennent une faille d'injection HTML qui intervient lors de l’envoi d’une demande de contrôle à distance à un utilisateur partageant son écran pendant une réunion. Les participants à cette réunion pourraient alors être exposés à du piratage psychologique.

Zoom a corrigé ce problème dans la version 5.1.0 du Zoom Client for Meetings pour Linux Ubuntu. Les utilisateurs peuvent garantir leur sécurité en appliquant les mises à jour actuelles ou en téléchargeant le dernier logiciel Zoom avec toutes les mises à jour de sécurité actuelles depuis https://zoom.us/download

Affected Products:

  • Zoom Client for Meetings pour Linux Ubuntu avant la version 5.1.0

Source: Signalé par Danny de Weille et Rick Verdoes de hackdefense

ZSB-21014 11/09/2021 Plantage du pointeur Null de pré-authentification dans la console Web sur site Critical CVE-2021-34418

Severity: Critical

CVSS Score: 4.0

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Description: Le service de connexion de la console Web des produits listés dans la rubrique « Produits concernés » du présent bulletin ne réussit pas à valider qu’un byte NULL a été envoyé au cours du processus d’authentification. Ceci pourrait entraîner un plantage du service de connexion.

Affected Products:

  • Contrôleurs de connecteur de réunion Zoom sur site avant la version 4.6.239.20200613
  • Connecteurs de réunion Zoom sur site MMR avant la version 4.6.239.20200613
  • Connecteurs d’enregistrement Zoom sur site avant la version 3.8.42.20200905
  • Connecteurs de salle virtuelle Zoom sur site avant la version 4.4.6344.20200612
  • Équilibreurs de charge des connecteurs de salle virtuelle Zoom sur site avant la version 2.5.5492.20200616

Source: Signalé par Jeremy Brown

ZSB-21013 11/09/2021 Exécution de commandes à distance authentifiées avec privilèges racine via la console Web dans MMR Critical CVE-2021-34417

Severity: Critical

CVSS Score: 7.9

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N

Description: La page de proxy réseau du web portal des produits listés dans la rubrique « Produits concernés » du présent bulletin ne parvient pas à valider l'entrée envoyée dans les demandes de configuration du mot de passe du proxy réseau. Ceci pourrait permettre à un administrateur du web portal de réaliser une injection de commande à distance.

Affected Products:

  • Contrôleurs de connecteur de réunion Zoom sur site avant la version 4.6.365.20210703
  • Connecteurs de réunion Zoom sur site MMR avant la version 4.6.365.20210703
  • Connecteurs d’enregistrement Zoom sur site avant la version 3.8.45.20210703
  • Connecteurs de salle virtuelle Zoom sur site avant la version 4.4.6868.20210703
  • Équilibreurs de charge des connecteurs de salle virtuelle Zoom sur site avant la version 2.5.5496.20210703

Source: Signalé par Jeremy Brown

ZSB-21012 09/30/2021 Exécution de code à distance sur des images sur site via web portal Critical CVE-2021-34416

Severity: Critical

CVSS Score: 5.5

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N

Description: Le web portal de configuration administrative de l’adresse réseau : du connecteur de réunion Zoom sur site de version antérieure à 4.6.360.20210325 ; du connecteur de réunion Zoom sur site MMR de version antérieure à 4.6.360.20210325 ; du connecteur d’enregistrement Zoom sur site de version antérieure à 3.8.44.20210326 ; du connecteur de salle virtuelle Zoom sur site de version antérieure à 4.4.6752.20210326 ; et de l’équilibreur de charge du connecteur de salle virtuelle Zoom sur site de version antérieure à 2.5.5495.20210326 ne réussit pas à valider l’entrée envoyée dans les demandes de mise à jour de la configuration du réseau. Ceci pourrait permettre à des administrateurs du web portal de réaliser une injection de commande à distance sur l’image sur site.

Affected Products:

  • Connecteurs de réunion Zoom sur site avant la version 4.6.360.20210325
  • Connecteurs de réunion Zoom sur site MMR avant la version 4.6.360.20210325
  • Connecteurs d’enregistrement Zoom sur site avant la version 3.8.44.20210326
  • Connecteurs de salle virtuelle Zoom sur site avant la version 4.4.6752.20210326
  • Équilibreurs de charge des connecteurs de salle virtuelle Zoom sur site avant la version 2.5.5495.20210326

Source: Signalé par Egor Dimitrenko de Positive Technologies

ZSB-21011 09/30/2021 Plantage du contrôleur de zone utilisant un PDU qui provoque des allocations multiples Critical CVE-2021-34415

Severity: Critical

CVSS Score: 7.5

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Description: Le service de contrôleur de zone des versions antérieures à 4.6.358.20210205 du contrôleur de connecteur de réunion Zoom sur site ne réussit pas à vérifier le champ cnt envoyé dans les paquets réseau entrants, ce qui provoque un épuisement des ressources et un plantage du système.

Affected Products:

  • Contrôleurs de connecteur de réunion Zoom sur site avant la version 4.6.358.20210205

Source: Signalé par Nikita Abramov de Positive Technologies

ZSB-21010 09/30/2021 Exécution de code à distance sur le serveur de connecteur de réunion via la configuration du proxy réseau sur le web portal Critical CVE-2021-34414

Severity: Critical

CVSS Score: 7.2

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Description: La page proxy du web portal : du contrôleur du connecteur de réunion Zoom sur site de version antérieure à 4.6.348.20201217 ; du connecteur de réunion Zoom sur site MMR de version antérieure à 4.6.348.20201217 ; du connecteur d’enregistrement Zoom sur site de version antérieure à 3.8.42.20200905 ; du connecteur de salle virtuelle Zoom sur site de version antérieure à 4.4.6620.20201110 ; et de l’équilibreur de charge du connecteur de salle virtuelle Zoom sur site de version antérieure à 2.5.5495.20210326 ne réussit pas à valider l’entrée envoyée par les demandes de mise à jour de la configuration du proxy réseau. Ceci pourrait permettre à un administrateur du web portal de réaliser une injection de commandes à distance sur l’image sur site.

Affected Products:

  • Contrôleurs de connecteur de réunion Zoom sur site avant la version 4.6.348.20201217
  • Connecteurs de réunion Zoom sur site MMR avant la version 4.6.348.20201217
  • Connecteurs d’enregistrement Zoom sur site avant la version 3.8.42.20200905
  • Connecteurs de salle virtuelle Zoom sur site avant la version 4.4.6620.20201110
  • Équilibreurs de charge des connecteurs de salle virtuelle Zoom sur site avant la version 2.5.5495.20210326

Source: Signalé par Egor Dimitrenko de Positive Technologies

ZSB-21009 09/30/2021 Élévation locale de privilèges avec l’installeur du module d’extension Outlook pour Zoom pour macOS Critical CVE-2021-34413

Severity: Critical

CVSS Score: 2.8

CVSS Vector String: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N

Description: Toutes les versions antérieures à 5.3.52553.0918 du module d’extension Zoom pour Microsoft Outlook sur macOS contiennent une vulnérabilité TOC/TOU (time-of-check to time-of-use) pendant le processus d’installation du module d’extension. Ceci pourrait permettre à un utilisateur standard d’écrire sa propre application malveillante dans le dossier du module d’extension et ainsi de permettre à celle-ci de s’exécuter dans un contexte avec privilèges.

Affected Products:

  • Toutes les versions du module d’extension Zoom pour Microsoft Outlook pour macOS avant la version 5.3.52553.0918

Source: Signalé par la Red Team de Lockheed Martin

ZSB-21008 09/30/2021 Élévation locale de privilèges avec l’installeur de Zoom pour Windows Critical CVE-2021-34412

Severity: Critical

CVSS Score: 4.4

CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Description: Sur toutes les versions antérieures à 5.4.0 du Zoom Client for Meetings pour Windows, il est possible de lancer Internet Explorer au cours du processus d’installation. Si l’installeur a été lancé avec des privilèges élevés, par exemple par SCCM, cela peut entraîner une élévation locale des privilèges.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings pour Windows avant la version 5.4.0

Source: Signalé par la Red Team de Lockheed Martin

ZSB-21007 09/30/2021 Élévation locale de privilèges avec l’installeur de Zoom Rooms Critical CVE-2021-34411

Severity: Critical

CVSS Score: 4.4

CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Description: Sur les versions antérieures à 5.3.0 de Zoom Rooms pour salles de conférence pour Windows, il est possible de lancer Internet Explorer avec des privilèges élevés. Si l’installeur a été lancé avec des privilèges élevés, par exemple par SCCM, cela peut entraîner une élévation locale des privilèges.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Zoom Rooms pour salles de conférence pour Windows avant la version 5.3.0
  • Clients pour Mac avant la version 4.1.34475.1105
  • Zoom Rooms pour salles de conférence avant la version 5.1.0

Source: Signalé par la Red Team de Lockheed Martin

ZSB-21004 09/30/2021 Autorisation d’écriture élevée avec l’installeur Zoom MSI grâce à une jonction Critical CVE-2021-34408

Severity: Critical

CVSS Score: 7.0

CVSS Vector String: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Description: Sur les versions antérieures à 5.3.2 du Zoom Client for Meetings pour Windows, un répertoire avec autorisation d’écriture pour l’utilisateur créé pendant l’installation pourrait être redirigé vers un autre emplacement au moyen d’une jonction. Ceci permettrait à un attaquant d’écraser des fichiers qu'un utilisateur avec peu de privilèges ne serait normalement pas en mesure de modifier.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings pour Windows avant la version 5.3.2

Source: Signalé par la Red Team de Lockheed Martin

ZSB-21003 09/30/2021 Contournement de la signature numérique de l’installeur de Zoom pour Windows Critical CVE-2021-33907

Severity: Critical

CVSS Score: 7.0

CVSS Vector String: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H/MPR:N/MUI:R/MS:U/MC:H/MI:H/MA:H

Description: Aucune version antérieure à 5.3.0 du Zoom Client for Meetings pour Windows ne réussit à valider correctement les informations utilisées pour la signature des fichiers .msi lorsqu’une mise à jour du client est réalisée. Ceci pourrait permettre l’exécution de code à distance avec des privilèges élevés.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Toutes les versions de Zoom Client for Meetings pour Windows avant la version 5.3.0

Source: Signalé par la Red Team de Lockheed Martin

ZSB-21002 08/13/2021 Dépassement de tas causé par une écriture non vérifiée dans un tampon statique à partir d’un message XMPP Critical CVE-2021-30480

Severity: Critical

CVSS Score: 8.1

CVSS Vector String: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H

Description: Un dépassement de tas, qui est un type de dépassement tampon, existe dans toutes les versions desktop de Zoom Client for Meetings antérieures à la version 5.6.3. Cette constatation a été signalée à Zoom dans le cadre du Pwn20wn Vancouver 2021. La chaîne d’attaque démontrée lors du Pwn20wn a été atténuée par un changement côté serveur dans l’infrastructure de Zoom le 09/04/2021.

En le combinant avec deux autres problèmes signalés lors du Pwn20wn (validation d’URL incorrecte lors de l’envoi d’un message XMPP pour accéder à une URL d’application Zoom Marketplace et validation d’URL incorrecte lors de l’affichage d’une image GIPHY), un utilisateur malveillant peut exécuter du code à distance sur l’ordinateur d’une cible.
La cible doit avoir préalablement accepté une demande de connexion de l’utilisateur malveillant ou être dans une conversation multi-utilisateur avec l’utilisateur malveillant pour que cette attaque ait lieu. La chaîne d’attaque démontrée lors du Pwn20wn peut être très visible pour les cibles, ce qui entraîne plusieurs notifications client.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Toutes les versions desktop de Zoom Client for Meetings antérieures à la version 5.6.3

Source: Signalé par Daan Keuper et Thijs Alkemade de Computest via la Zero Day Initiative

ZSB-21001 03/26/2021 Fonctionnalité de partage d’écran de la fenêtre d’application Critical CVE-2021-28133

Severity: Critical

CVSS Score: 5.7

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

Description: Une vulnérabilité a affecté la fonctionnalité de partage d’écran du client Zoom pour Windows et Linux lors du partage de fenêtres d’application individuelles. Des contenus d’écran n'étant pas forcément partagés par les utilisateurs pouvaient alors être aperçus par d’autres participants à la réunion, lorsque la personne qui partageait son écran réduisait, agrandissait ou fermait une autre fenêtre.

Zoom a introduit plusieurs nouvelles mesures d’atténuation des risques liés à la sécurité dans la version 5.6 du client Zoom pour Windows. Ces mesures réduisent la probabilité que ce problème ne se produise pour les utilisateurs de Windows. Nous élaborons actuellement des mesures supplémentaires pour résoudre ce problème sur toutes les plateformes concernées.

Zoom a également corrigé ce problème pour les utilisateurs d’Ubuntu le 1er mars 2021 avec la version 5.5.4 du client Zoom pour Linux. Les utilisateurs peuvent installer les dernières mises à jour ou télécharger la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Toutes les versions de client Zoom pour Windows
  • Versions du client Zoom pour Linux avant la version 5.5.4 pour Ubuntu
  • Toutes les versions du client Zoom pour Linux sous d’autres distributions prises en charge

Source: Découverte par Michael Stramez et Matthias Deeg.

ZSB-20002 08/14/2020 DLL Windows dans le service de partage Zoom Critical CVE-2020-9767

Severity: Critical

CVSS Score: 7.8

CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Description: Une vulnérabilité liée au chargement de la bibliothèque de liens dynamiques (« DLL ») dans le service de partage Zoom pourrait permettre à un utilisateur Windows local d’élever ses privilèges à ceux d'un utilisateur NT AUTHORITY/SYSTEM.

Cette vulnérabilité est causée par des vérifications de signature insuffisantes des DLL chargées dynamiquement lors du chargement d’un fichier exécutable signé. Un attaquant pourrait exploiter cette vulnérabilité en injectant une DLL malveillante dans un fichier exécutable signé Zoom et en l’utilisant pour lancer des processus avec des autorisations élevées.

Zoom a corrigé ce problème dans la version 5.0.4 du client. Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Les versions de l’installateur Zoom pour Windows (ZoomInstallerFull.msi) antérieures à 5.0.4

Source: Connor Scott de Context Information Security

ZSB-20001 05/04/2020 Installateur informatique Zoom pour Windows Critical CVE-2020-11443

Severity: Critical

CVSS Score: Base : 8.4

CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Description: Une vulnérabilité dans la façon dont l’installateur Zoom pour Windows gère les jonctions lors de la suppression de fichiers pourrait permettre à un utilisateur Windows local de supprimer des fichiers qu'il n'est normalement pas en mesure de supprimer.

Cette vulnérabilité est causée par une vérification insuffisante des jonctions dans le répertoire à partir duquel l’installateur supprime les fichiers, qui est modifiable par les utilisateurs standard. Un utilisateur local malveillant pourrait exploiter cette vulnérabilité en créant une jonction dans le répertoire affecté qui renvoie vers des fichiers système protégés ou d’autres fichiers pour lesquels l’utilisateur ne dispose pas d’autorisations. Lors de l’exécution de l’installateur Zoom pour Windows avec des autorisations élevées, comme c’est le cas lorsqu’il est exécuté par le biais d’un logiciel de déploiement géré, ces fichiers seraient supprimés du système.

Zoom a corrigé ce problème dans la version 4.6.10 du client Zoom. Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Les versions de l’installateur Zoom pour Windows (ZoomInstallerFull.msi) antérieures à 4.6.10

Source: Merci à la Red Team de Lockheed Martin.

ZSB-19003 07/12/2019 ZoomOpener Daemon Critical CVE-2019-13567

Severity: Critical

CVSS Score: Base : 7.5

CVSS Vector String: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Description: Une vulnérabilité dans le client Zoom pour macOS pourrait permettre à un attaquant de télécharger des logiciels malveillants sur l’appareil d’une victime.

Cette vulnérabilité est causée par une validation incorrecte des entrées et des logiciels téléchargés dans l’application d’aide ZoomOpener. Un attaquant pourrait exploiter cette vulnérabilité pour demander à l’appareil d’une victime de télécharger des fichiers en son nom. L’exploit n'est possible que si la cible a désinstallé le client Zoom.

Zoom a corrigé ce problème dans la version 4.4.52595.0425 du client. Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Client Zoom macOS avant la version 4.4.52595.0425 et après la version 4.1.27507.0627

Source: Inconnue.

ZSB-19002 07/09/2019 Paramètre vidéo par défaut Critical CVE-2019-13450

Severity: Critical

CVSS Score: Base : 3.1

CVSS Vector String: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

Description: Une vulnérabilité dans les clients RingCentral et Zoom pour macOS pourrait permettre à un attaquant non authentifié de forcer à distance un utilisateur à participer à un appel vidéo avec la caméra vidéo active.

Cette vulnérabilité est causée par des contrôles d’autorisation insuffisants, nécessaires pour vérifier les systèmes pouvant communiquer avec le serveur Web Zoom local exécuté sur le port 19421. Un attaquant pourrait exploiter cette vulnérabilité en créant un site Web malveillant qui amène le client Zoom à participer automatiquement à une réunion planifiée par l’attaquant.

Zoom a implémenté une nouvelle boîte de dialogue Aperçu vidéo que l’utilisateur voit avant de participer à une réunion dans la version 4.4.5 du client, publiée le 14 juillet 2019. Cette boîte de dialogue permet à l’utilisateur de rejoindre la réunion avec ou sans vidéo activée et demande à l’utilisateur de définir le paramètre par défaut souhaité pour la vidéo. Zoom recommande aux clients d’installer la dernière version de Zoom disponible sur https://zoom.us/download.

Affected Products:

  • Client Zoom sous macOS avant la version 4.4.5
  • Client RingCentral sous macOS avant la version 4.4.5

Source: Découverte par Jonathan Leitschuh.

ZSB-19001 07/09/2019 Attaque par déni de service – macOS Critical CVE-2019-13449

Severity: Critical

CVSS Score: Base : 3.1

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Description: Une vulnérabilité dans Client Zoom sous macOS pourrait permettre à un attaquant non authentifié de déclencher à distance une condition de déni de service sur le système d’une victime.

Cette vulnérabilité est causée par des contrôles d’autorisation insuffisants, nécessaires pour vérifier les systèmes pouvant communiquer avec le serveur Web Zoom local exécuté sur le port 19421. Un attaquant pourrait exploiter cette vulnérabilité en créant un site Web malveillant qui amène le client Zoom à essayer à plusieurs reprises de participer à une réunion avec un ID de réunion non valide. La boucle sans fin rend le client Zoom inopérant et peut avoir un impact sur les performances du système sur lequel il s’exécute.

Zoom a corrigé ce problème dans la version 4.4.2-hotfix du client sous macOS publiée le 28 avril 2019. Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Affected Products:

  • Client Zoom sous macOS avant la version 4.4.5
  • Client RingCentral sous macOS avant la version 4.4.5

Source: Découverte par Jonathan Leitschuh.

No results found

Indiquez votre adresse e-mail individuelle pour recevoir des notifications concernant les prochains bulletins de sécurité Zoom. (Remarque : Les alias d’adresse e-mail ne recevront pas ces notifications.)