Bollettini di sicurezza
Bollettini di sicurezza
Zoom non fornisce indicazioni sull'impatto delle vulnerabilità sui singoli clienti a causa di un bollettino di sicurezza Zoom né fornisce ulteriori dettagli su una vulnerabilità. Consigliamo agli utenti di effettuare un aggiornamento alla versione più recente del software Zoom per ottenere le ultime correzioni e i miglioramenti della sicurezza.
| ZSB | Data | Titolo | Gravità | CVE (ove applicabile) | |
|---|---|---|---|---|---|
|
|
ZSB-23041 | 08/08/2023 | Client Zoom per desktop per Windows - Convalida impropria degli input | Media | CVE-2023-39209 |
|
Gravità: Medium Punteggio CVSS: 5.9 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L
Descrizione: La convalida impropria degli input nel Client Zoom per desktop per Windows precedente alla versione 5.15.5 può consentire a un utente autenticato di abilitare la divulgazione delle informazioni tramite accesso di rete. Prodotti interessati:
Fonte: Segnalato dal Team per la sicurezza dagli attacchi di Zoom. |
|||||
|
|
ZSB-23039 | 08/08/2023 | SDK del client Zoom - Esposizione di informazioni sensibili | Alta | CVE-2023-39214 |
|
Gravità: High Punteggio CVSS: 7.6 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H
Descrizione: L'esposizione delle informazioni sensibili nelle SDK del client Zoom precedente alla versione 5.15.5 può consentire a un'utente autenticato di abilitare un rifiuto del servizio tramite accesso di rete. Prodotti interessati:
Fonte: Segnalato dal Team per la sicurezza dagli attacchi di Zoom. |
|||||
|
|
ZSB-23038 | 08/08/2023 | Client Zoom per desktop per Windows e Client VDI Zoom - Neutralizzazione impropria di elementi speciali | Critica | CVE-2023-39213 |
|
Gravità: Critical Punteggio CVSS: 9.6 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Descrizione: La neutralizzazione di elementi speciali nel Client Zoom per desktop per Windows e il client VDI di Zoom precedente alla versione 5.15.2 può consentire a un utente non autenticato di abilitare un'escalation di privilegi tramite accesso di rete. Prodotti interessati:
Fonte: Segnalato dal Team per la sicurezza dagli attacchi di Zoom. |
|||||
|
|
ZSB-23037 | 08/08/2023 | Zoom Rooms per Windows - Percorso di ricerca non attendibile | Alta | CVE-2023-39212 |
|
Gravità: High Punteggio CVSS: 7.9 Sequenza del vettore CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H
Descrizione: Il percorso di ricerca non attendibile in Zoom Rooms per Windows precedente alla versione 5.15.5 può consentire a un utente autenticato di abilitare un rifiuto del servizio tramite accesso locale. Prodotti interessati:
Fonte: Segnalato da sim0nsecurity. |
|||||
|
|
ZSB-23036 | 08/08/2023 | Client Zoom per desktop per Windows e Zoom Rooms per Windows - Gestione impropria dei privilegi | Alta | CVE-2023-39211 |
|
Gravità: High Punteggio CVSS: 8.8 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Descrizione: La gestione impropria dei privilegi all'interno del Client Zoom per desktop per Windows e Zoom Rooms per Windows precedente alla versione 5.15.5 può consentire a un utente autenticato di abilitare la divulgazione delle informazioni tramite accesso locale. Prodotti interessati:
Fonte: Segnalato da sim0nsecurity. |
|||||
|
|
ZSB-23035 | 08/08/2023 | SDK di Zoom Client per Windows - Archiviazione con testo in chiaro di informazioni sensibili | Media | CVE-2023-39210 |
|
Gravità: Medium Punteggio CVSS: 5.5 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Descrizione: L'archiviazione con testo in chiaro di informazioni sensibili nell'SDK del client Zoom per Windows precedente alla versione 5.15.0 può consentire a un utente autenticato di abilitare la divulgazione di informazioni tramite accesso locale. Prodotti interessati:
Fonte: Segnalato da sim0nsecurity. |
|||||
|
|
ZSB-23034 | 08/08/2023 | Client Zoom - Applicazione lato utente della sicurezza lato server | Media | CVE-2023-39218 |
|
Gravità: Medium Punteggio CVSS: 6.5 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
Descrizione: L'applicazione lato cliente della sicurezza lato server nei client Zoom precedenti alla versione 5.14.10 può consentire a un utente privilegiato per abilitare la divulgazione di informazioni tramite accesso di rete. Prodotti interessati:
Fonte: Segnalato dal Team per la sicurezza dagli attacchi di Zoom. |
|||||
|
|
ZSB-23033 | 08/08/2023 | SDK di Zoom - Convalida impropria degli input | Medio | CVE-2023-39217 |
|
Gravità: Medio Punteggio CVSS: 5.3 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Descrizione: La convalida impropria dell'input nelle SDK di Zoom precedente alla versione 5.14.10 può consentire a un utente non autenticato di abilitare un rifiuto del servizio tramite accesso di rete. Prodotti interessati:
Fonte: Segnalato dal Team per la sicurezza dagli attacchi di Zoom. |
|||||
|
|
ZSB-23032 | 08/08/2023 | Client Zoom per desktop per Windows - Convalida impropria degli input | Critico | CVE-2023-39216 |
|
Gravità: Critico Punteggio CVSS: 9.6 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Descrizione: La convalida impropria degli input nel Client Zoom per desktop per Windows precedente alla versione 5.14.7 può consentire a un utente non autenticato di abilitare un'escalation di privilegi tramite accesso di rete. Prodotti interessati:
Fonte: Segnalato dal Team per la sicurezza dagli attacchi di Zoom. |
|||||
|
|
ZSB-23031 | 08/08/2023 | Client Zoom - Applicazione lato utente della sicurezza lato server | Alta | CVE-2023-36535 |
|
Gravità: Alta Punteggio CVSS: 7.1 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L
Descrizione: L'applicazione lato cliente della sicurezza lato server nei client Zoom precedenti alla versione 5.14.10 può consentire a un utente autenticato di abilitare la divulgazione di informazioni tramite accesso di rete. Prodotti interessati:
Fonte: Segnalato dal Team per la sicurezza dagli attacchi di Zoom. |
|||||
|
|
ZSB-23030 | 08/08/2023 | Client Zoom per desktop per Windows - percorso trasversale | Critico | CVE-2023-36534 |
|
Gravità: Critico Punteggio CVSS: 9.3 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H
Descrizione: Il percorso trasversale nel Client Zoom per desktop per Windows precedente alla versione 5.14.7 può consentire a un utente non autenticato di abilitare un'escalation di privilegi tramite accesso di rete. Prodotti interessati:
Fonte: Segnalato dal Team per la sicurezza dagli attacchi di Zoom. |
|||||
|
|
ZSB-23029 | 08/08/2023 | SDK di Zoom - Consumo incontrollato di risorse | Alta | CVE-2023-36533 |
|
Gravità: Alta Punteggio CVSS: 7.1 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H
Descrizione: Il consumo incontrollato di risorse nell'SDK di Zoom precedente alla versione 5.14.7 può consentire a un utente non autenticato di abilitare un rifiuto del servizio tramite accesso di rete. Prodotti interessati:
Fonte: Segnalato dal Team per la sicurezza dagli attacchi di Zoom. |
|||||
|
|
ZSB-23028 | 08/08/2023 | Client Zoom - Buffer overflow | Medio | CVE-2023-36532 |
|
Gravità: Medio Punteggio CVSS: 5.9 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Descrizione: Il buffer overflow nei client Zoom precedenti alla versione 5.14.5 può consentire a un utente non autenticato di abilitare un rifiuto del servizio tramite accesso di rete. Prodotti interessati:
Fonte: Segnalato dal Team per la sicurezza dagli attacchi di Zoom. |
|||||
|
|
ZSB-23027 | 08/08/2023 | Client Zoom per desktop per Windows - Verifica insufficiente dell'autenticità dei dati | Alta | CVE-2023-36541 |
|
Gravità: Alta Punteggio CVSS: 8 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Descrizione: La verifica insufficiente dell'autenticità dei dati nel Client Zoom per desktop per Windows precedente alla versione 5.14.5 può consentire a un utente autenticato di abilitare un'escalation di privilegi tramite accesso di rete. Prodotti interessati:
Fonte: Segnalato da sim0nsecurity. |
|||||
|
|
ZSB-23026 | 08/08/2023 | Client Zoom per desktop per Windows - Percorso di ricerca non attendibile | Alta | CVE-2023-36540 |
|
Gravità: Alta Punteggio CVSS: 7.3 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L
Descrizione: Un percorso di ricerca non attendibile nell'installer del Client Zoom per desktop per Windows precedente alla versione 5.14.5 può consentire a un utente autenticato di abilitare un'escalation di privilegi tramite accesso locale. Prodotti interessati:
Fonte: Segnalato da sim0nsecurity. |
|||||
|
|
ZSB-23024 | 07/11/2023 | Controllo improprio degli accessi | Alta | CVE-2023-36538 |
|
Gravità: Alta Punteggio CVSS: 8.4 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H
Descrizione: Un controllo degli accessi non corretto in Zoom Rooms per Windows precedente alla versione 5.15.0 può consentire a un utente autenticato di abilitare un'escalation di privilegi tramite accesso locale. Prodotti interessati:
Fonte: Segnalato da sim0nsecurity. |
|||||
|
|
ZSB-23023 | 07/11/2023 | Gestione impropria dei privilegi | Alta | CVE-2023-36537 |
|
Gravità: Alta Punteggio CVSS: 7.3 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L
Descrizione: Una gestione impropria dei privilegi in Zoom Rooms per Windows precedente alla versione 5.14.5 può consentire a un utente autenticato di abilitare un'escalation di privilegi tramite accesso locale. Prodotti interessati:
Fonte: Segnalato da sim0nsecurity. |
|||||
|
|
ZSB-23022 | 07/11/2023 | Percorso di ricerca non attendibile | Alta | CVE-2023-36536 |
|
Gravità: Alta Punteggio CVSS: 8.2 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
Descrizione: Un percorso di ricerca non attendibile nell'installer di Zoom Rooms per Windows precedente alla versione 5.15.0 può consentire a un utente autenticato di attivare un'escalation di privilegi tramite accesso locale. Prodotti interessati:
Fonte: Segnalato da sim0nsecurity. |
|||||
|
|
ZSB-23021 | 07/11/2023 | File temporaneo non sicuro | Alta | CVE-2023-34119 |
|
Gravità: Alta Punteggio CVSS: 8.2 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
Descrizione: Un file temporaneo non sicuro nell'installer di Zoom Rooms per Windows precedente alla versione 5.15.0 può consentire a un utente autenticato di attivare un'escalation di privilegi tramite accesso locale. Prodotti interessati:
Fonte: Segnalato da sim0nsecurity. |
|||||
|
|
ZSB-23020 | 07/11/2023 | Gestione impropria dei privilegi | Alta | CVE-2023-34118 |
|
Gravità: Alta Punteggio CVSS: 7.3 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L
Descrizione: Una gestione impropria dei privilegi in Zoom Rooms per Windows precedente alla versione 5.14.5 può consentire a un utente autenticato di abilitare un'escalation di privilegi tramite accesso locale. Prodotti interessati:
Fonte: Segnalato da sim0nsecurity. |
|||||
|
|
ZSB-23019 | 07/11/2023 | Path traversal relativo | Bassa | CVE-2023-34117 |
|
Gravità: Bassa Punteggio CVSS: 3.3 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Descrizione: Il path traversal relativo nell'SDK del client Zoom precedente alla versione 5.15.0 può consentire a un utente non autorizzato di abilitare la divulgazione di informazioni tramite accesso locale. Prodotti interessati:
Fonte: Segnalato da Dimitrios Valsamaras di Microsoft. |
|||||
|
|
ZSB-23018 | 07/11/2023 | Convalida impropria dell'input | Alta | CVE-2023-34116 |
|
Gravità: Alta Punteggio CVSS: 8.2 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:H
Descrizione: La convalida degli input non corretta nel Client Zoom per desktop per Windows precedente alla versione 5.15.0 può consentire a un utente non autorizzato di abilitare un'escalation di privilegi tramite l'accesso di rete. Prodotti interessati:
Fonte: Segnalato da sim0nsecurity. |
|||||
|
|
ZSB-23025 | 06/29/2023 | Esposizione delle informazioni sensibili | Medio | CVE-2023-36539 |
|
Gravità: Medio Punteggio CVSS: 5.3 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N
Descrizione: L'esposizione di informazioni che dovrebbero destinate a essere crittografate da parte di clienti Zoom può comportare la divulgazione di informazioni sensibili. Prodotti interessati:
Fonte: Segnalato dal Team per la sicurezza dagli attacchi di Zoom. |
|||||
|
|
ZSB-23017 | 06/13/2023 | Copia del buffer senza controllo della dimensione dell'ingresso | Medio | CVE-2023-34115 |
|
Gravità: Medio Punteggio CVSS: 4.0 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Descrizione: La copia del buffer senza controllo della dimensione dell'ingresso in Zoom Meeting SDK prima della versione 5.13.0 può consentire a un utente autenticato di abilitare potenzialmente un rifiuto del servizio tramite accesso locale. Il problema può determinare il crash di Zoom Meeting SDK e la necessità di riavvio dello stesso. Prodotti interessati:
Fonte: Segnalato da Eugene Lim |
|||||
|
|
ZSB-23016 | 06/13/2023 | Esposizione delle risorse alla sfera sbagliata | Medio | CVE-2023-34114 |
|
Gravità: Medio Punteggio CVSS: 4.3 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N
Descrizione: L'esposizione delle risorse alla sfera sbagliata nei client Zoom for Windows e Zoom for macOS precedente alla versione 5.14.10 può consentire a un utente autenticato di abilitare potenzialmente la divulgazione di informazioni tramite accesso di rete. Prodotti interessati:
Fonte: Segnalato da Siddhi Katariya (chikorita) |
|||||
|
|
ZSB-23015 | 06/13/2023 | Verifica insufficiente dell'autenticità dei dati | Alta | CVE-2023-34113 |
|
Gravità: Alta Punteggio CVSS: 8 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Descrizione: La verifica insufficiente dell'autenticità dei dati nei client Zoom for Windows precedente alla versione 5.14.0 può consentire a un utente autenticato di abilitare potenzialmente un'escalation dei privilegi tramite accesso di rete. Prodotti interessati:
Fonte: Segnalato da sim0nsecurity |
|||||
|
|
ZSB-23014 | 06/13/2023 | Convalida impropria dell'input | Alta | CVE-2023-34122 |
|
Gravità: Alta Punteggio CVSS: 7.3 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L
Descrizione: La convalida impropria dell'input nel programma di installazione per i client Zoom for Windows precedente alla versione 5.14.0 può consentire a un utente autenticato di abilitare potenzialmente un'escalation dei privilegi tramite accesso locale. Prodotti interessati:
Fonte: Segnalato da sim0nsecurity |
|||||
|
|
ZSB-23013 | 06/13/2023 | Convalida impropria dell'input | Medio | CVE-2023-34121 |
|
Gravità: Medio Punteggio CVSS: 4.9 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N
Descrizione: La convalida impropria dell'input nei client Zoom for Windows, Zoom Rooms, Zoom VDI Windows Meeting precedente alla versione 5.14.0 può consentire a un utente autenticato di abilitare potenzialmente un'escalation dei privilegi tramite accesso di rete. Prodotti interessati:
Fonte: Segnalato da Mohit Rawat - ASPIA InfoTech |
|||||
|
|
ZSB-23012 | 06/13/2023 | Gestione impropria dei privilegi | Alta | CVE-2023-34120 |
|
Gravità: Alta Punteggio CVSS: 8.7 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L
Descrizione: La gestione impropria dei privilegi nei client Zoom for Windows, Zoom Rooms for Windows e Zoom VDI for Windows precedenti alla versione 5.14.0 può consentire a un utente autenticato di abilitare potenzialmente un'escalation dei privilegi tramite accesso locale. Gli utenti possono potenzialmente utilizzare i privilegi di sistema di livello superiore mantenuti dal client Zoom per generare processi con privilegi scalati. Prodotti interessati:
Fonte: Segnalato da sim0nsecurity |
|||||
|
|
ZSB-23011 | 06/13/2023 | Controllo improprio degli accessi nel programma di installazione del client Zoom VDI | Alta | CVE-2023-28603 |
|
Gravità: Alta Punteggio CVSS: 7.7 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:L
Descrizione: Il programma di installazione del client Zoom VDI precedente alla versione 5.14.0 contiene una vulnerabilità nel controllo improprio degli accessi. Un utente malintenzionato può potenzialmente eliminare i file locali senza le dovute autorizzazioni. Prodotti interessati:
Fonte: Segnalato da sim0nsecurity |
|||||
|
|
ZSB-23010 | 06/13/2023 | Verifica impropria di firma crittografica nei client Zoom | Bassa | CVE-2023-28602 |
|
Gravità: Bassa Punteggio CVSS: 2.8 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N
Descrizione: I client Zoom for Windows precedenti alla versione 5.13.5 contengono una verifica impropria della vulnerabilità della firma crittografica. Un utente malintenzionato potrebbe potenzialmente declassare componenti Zoom Client alle versioni precedenti. Prodotti interessati:
Fonte: Segnalato da Kirin (Pwnrin) |
|||||
|
|
ZSB-23009 | 06/13/2023 | Limitazione impropria di operazioni con i limiti di un buffer di memoria nei Client Zoom | Bassa | CVE-2023-28601 |
|
Gravità: Bassa Punteggio CVSS: 2 Sequenza del vettore CVSS: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Descrizione: I client Zoom for Windows precedenti alla versione 5.14.0 contengono una limitazione impropria delle operazioni con i limiti della vulnerabilità di un buffer di memoria. Un utente malintenzionato può alterare buffer di memoria Zoom Client protetti causando potenzialmente problemi di integrità all'interno del client Zoom. Prodotti interessati:
Fonte: Segnalato da sim0nsecurity |
|||||
|
|
ZSB-23008 | 06/13/2023 | Controllo improprio degli accessi nei client Zoom | Medio | CVE-2023-28600 |
|
Gravità: Medio Punteggio CVSS: 6.6 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:L
Descrizione: I client Zoom for macOS precedenti alla versione 5.14.0 contengono una vulnerabilità nel controllo improprio degli accessi. Un utente malintenzionato potrebbe essere in grado di cancellare/sostituire file da Zoom Client causando la potenziale perdita di integrità e disponibilità per il client Zoom. Prodotti interessati:
Fonte: Segnalato da Koh M. Nakagawa (@tsunek0h) |
|||||
|
|
ZSB-23007 | 06/13/2023 | Vulnerabilità inserimento di HTML nei client Zoom | Medio | CVE-2023-28599 |
|
Gravità: Medio Punteggio CVSS: 4.2 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N
Descrizione: I client Zoom precedenti alla versione 5.13.10 contengono una vulnerabilità nell'inserimento di HTML. Un utente malintenzionato potrebbe inserire HTML nel nome che mostra indirizzando potenzialmente una vittima verso un sito Web dannoso durante la creazione di una riunione. Prodotti interessati:
Fonte: Segnalato da Mohit Rawat - ASPIA InfoTech |
|||||
|
|
ZSB-23006 | 06/13/2023 | Inserimento di HTML in Client Zoom per Linux | Alta | CVE-2023-28598 |
|
Gravità: Alta Punteggio CVSS: 7.5 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Descrizione: I client Zoom for Linux precedenti alla versione 5.13.10 contengono una vulnerabilità nell'iniezione HTML. Se una vittima avvia una chat con un utente malintenzionato potrebbe determinare un crash dell'applicazione Zoom. Prodotti interessati:
Fonte: Segnalato da Antoine Roly (aroly) |
|||||
|
|
ZSB-23005 | 03/14/2023 | Implementazione errata del confine di fiducia per il SMB nei client Zoom [Updated 2023-04-07] | Alta | CVE-2023-28597 |
|
Gravità: Alta Punteggio CVSS: 8.3 Sequenza del vettore CVSS: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Descrizione: I client Zoom precedenti alla versione 5.13.5 contengono una vulnerabilità nell'implementazione di un confine di fiducia errato Se la vittima salva una registrazione locale in una posizione SMB e successivamente la apre utilizzando un link dal web portal di Zoom, un malintenzionato posizionato su una rete adiacente al client vittima potrebbe impostare un server SMB dannoso che risponda alle richieste del client. In questo modo provocherebbe l'esecuzione di file eseguibili controllati dal malintenzionato. In questo modo il malintenzionato potrebbe ottenere l'accesso al dispositivo e ai dati dell'utente ed eseguire il codice da remoto. Prodotti interessati:
Fonte: Segnalato dal Team per la sicurezza dagli attacchi di Zoom |
|||||
|
|
ZSB-23004 | 03/14/2023 | Escalation dei privilegi locali per il programma di installazione Zoom for macOS | Medio | CVE-2023-28596 |
|
Gravità: Medio Punteggio CVSS: 5.2 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L
Descrizione: Il programma di installazione del client Zoom for macOS (per amministratori IT) precedente alla versione 5.13.5 contiene una vulnerabilità di escalation dei privilegi locali. Un utente locale con privilegi limitati potrebbe sfruttare questa vulnerabilità in un catena di attacchi durante il processo di installazione per aumentare i propri privilegi a quelli del root. Prodotti interessati:
Fonte: Segnalato da Koh M. Nakagawa (tsunekoh) |
|||||
|
|
ZSB-23003 | 03/14/2023 | Escalation dei privilegi locali per il programma di installazione Zoom for Windows | Alta | CVE-2023-22883 |
|
Gravità: Alta Punteggio CVSS: 7.2 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:N/I:H/A:H
Descrizione: Il programma di installazione del client Zoom for Windows (per amministratori IT) precedente alla versione 5.13.5 contiene una vulnerabilità di escalation dei privilegi locali. Un utente locale con privilegi limitati, per aumentare i propri privilegi all'utente SYSTEM, può sfruttare questa vulnerabilità in una catena di attacchi durante il processo di installazione. Prodotti interessati:
Fonte: Segnalato da sim0nsecurity |
|||||
|
|
ZSB-23002 | 03/14/2023 | Denial of Service sui client Zoom | Medio |
CVE-2023-22881 CVE-2023-22882 |
|
Gravità: Medio Punteggio CVSS: 6.5 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Descrizione: I client Zoom precedenti alla versione 5.13.5 contengono una vulnerabilità di analisi STUN. Un attore malintenzionato potrebbe inviare traffico dell'UDP appositamente creato a un client Zoom vittima per provocare da remoto il crash del client, provocando un DoS. Prodotti interessati:
Fonte: Segnalato dal Team per la sicurezza dagli attacchi di Zoom |
|||||
|
|
ZSB-23001 | 03/14/2023 | Divulgazione delle informazioni nei client Zoom for Windows | Medio | CVE-2023-22880 |
|
Gravità: Medio Punteggio CVSS: 6.8 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N
Descrizione: I client Zoom for Windows precedenti alla versione 5.13.3, i client Zoom Rooms for Windows precedenti alla versione 5.13.5 e i client Zoom VDI for Windows precedenti alla versione 5.13.1 contengono una vulnerabilità sulla divulgazione delle informazioni. Un recente aggiornamento del tempo di esecuzione WebView2 di Microsoft Edge, usato dai client Zoom interessati, ha trasmesso il testo al servizio di controllo ortografico online di Microsoft anziché a quello locale di Windows. L'aggiornamento di Zoom risolve questa vulnerabilità, disabilitando la funzionalità. L'aggiornamento del tempo di esecuzione Microsoft Edge WebView2 alla versione 109.0.1481.0, come minimo, e il riavvio di Zoom risolvono questa vulnerabilità aggiornando il comportamento della telemetria di Microsoft. Prodotti interessati:
Fonte: Segnalato dal Team per la sicurezza di Zoom |
|||||
|
|
ZSB-22035 | 01/06/2023 | Escalation dei privilegi locali nel programma di installazione Windows per Zoom Rooms | Alta | CVE-2022-36930 |
|
Gravità: Alta Punteggio CVSS: 8.2 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
Descrizione: Il programma di installazione Zoom Rooms for Windows precedente alla versione 5.13.0 contiene una vulnerabilità di escalation dei privilegi locali. Un utente locale con privilegi limitati, per aumentare i propri privilegi all'utente SYSTEM, può sfruttare questa vulnerabilità in una catena di attacchi. Prodotti interessati:
Fonte: Segnalato da sim0nsecurity |
|||||
|
|
ZSB-22034 | 01/06/2023 | Escalation dei privilegi locali nei client Zoom Rooms for Windows. | Alta | CVE-2022-36929 |
|
Gravità: Alta Punteggio CVSS: 7.8 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Descrizione: I client Zoom Rooms for Windows precedenti alla versione 5.12.7 contengono una vulnerabilità di escalation dei privilegi locali. Un utente locale con privilegi limitati, per aumentare i propri privilegi all'utente SYSTEM, può sfruttare questa vulnerabilità in una catena di attacchi. Prodotti interessati:
Fonte: Segnalato da sim0nsecurity |
|||||
|
|
ZSB-22033 | 01/06/2023 | Path traversal nei client Zoom for Android | Medio | CVE-2022-36928 |
|
Gravità: Medio Punteggio CVSS: 6.1 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
Descrizione: I client Zoom for Android precedenti alla versione 5.13.0 contengono una vulnerabilità Path Traversal. Un'app di terze parti potrebbe sfruttare questa vulnerabilità per leggere e scrivere nella directory dei dati dell'applicazione Zoom. Prodotti interessati:
Fonte: Segnalato da Dimitrios Valsamaras di Microsoft |
|||||
|
|
ZSB-22032 | 01/06/2023 | Escalation dei privilegi locali nei client Zoom Rooms for macOS. | Alta |
CVE-2022-36926 CVE-2022-36927 |
|
Gravità: Alta Punteggio CVSS: 8.8 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Descrizione: I client Zoom Rooms for macOS precedenti alla versione 5.11.3 contengono una vulnerabilità di escalation dei privilegi locali. Un utente locale con privilegi limitati può sfruttare questa vulnerabilità per eseguire l'escalation dei propri privilegi al root. Prodotti interessati:
Fonte: Segnalato da Kirin (Pwnrin) |
|||||
|
|
ZSB-22031 | 01/06/2023 | Generazione di chiavi non sicure per i client Zoom Rooms for macOS | Medio | CVE-2022-36925 |
|
Gravità: Medio Punteggio CVSS: 4.4 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
Descrizione: I client Zoom Rooms for macOS precedenti alla versione 5.11.4 contengono un meccanismo di generazione delle chiavi non sicuro. La chiave di crittografia utilizzata per l'IPC tra il servizio daemon Zoom Rooms e i dispositivi per Zoom Rooms è stata generata utilizzando parametri che potevano essere ottenuti da un'applicazione locale con privilegi limitati. Tale chiave può quindi essere utilizzata per interagire con il servizio daemon per eseguire funzioni privilegiate e provocare un DoS locale. Prodotti interessati:
Fonte: Segnalato da Kirin (Pwnrin) |
|||||
|
|
ZSB-22030 | 11/15/2022 | Escalation dei privilegi locali nel programma di installazione Zoom Rooms per Windows | Alta | CVE-2022-36924 |
|
Gravità: Alta Punteggio CVSS: 8.8 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Descrizione: Il programma di installazione di Zoom Rooms per Windows precedente alla versione 5.12.6 contiene una vulnerabilità di escalation dei privilegi locali. Un utente locale con privilegi limitati, per aumentare i propri privilegi all'utente SYSTEM, può sfruttare questa vulnerabilità durante il processo di installazione. Prodotti interessati:
Fonte: Segnalato da sim0nsecurity |
|||||
|
|
ZSB-22029 | 11/15/2022 | Escalation dei privilegi locali per il programma di installazione del client Zoom per macOS | Alta | CVE-2022-28768 |
|
Gravità: Alta Punteggio CVSS: 8.8 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Descrizione: Il programma di installazione di Zoom Client for Meetings per macOS (Standard e per amministratori IT) precedenti alla versione 5.12.6 contiene una vulnerabilità di escalation dei privilegi locali. Un utente locale con privilegi limitati può sfruttare questa vulnerabilità durante il processo di installazione per aumentare i propri privilegi al root. Prodotti interessati:
Fonte: Segnalato da Koh M. Nakagawa (tsunekoh) |
|||||
|
|
ZSB-22027 | 11/15/2022 | Inserimento di DLL nei client Windows Zoom | Alta | CVE-2022-28766 |
|
Gravità: Alta Punteggio CVSS: 8.1 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L
Descrizione: Le versioni Windows a 32 bit di Zoom Client for Meetings precedenti alla 5.12.6 e Zoom Rooms per la sala conferenze precedenti alla versione 5.12.6 sono soggette a una vulnerabilità di inserimento DLL. Un utente locale con privilegi limitati può sfruttare questa vulnerabilità per eseguire codice arbitrario nel contesto del client Zoom. Prodotti interessati:
Fonte: Segnalato da sim0nsecurity |
|||||
|
|
ZSB-22025 | 11/10/2022 | Esposizione delle informazioni locali nei client Zoom | Bassa | CVE-2022-28764 |
|
Gravità: Bassa Punteggio CVSS: 3.3 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Descrizione: Zoom Client for Meetings (per Android, iOS, Linux, macOS e Windows) precedente alla versione 5.12.6 è soggetto a una vulnerabilità legata all'esposizione di informazioni locali. Prodotti interessati:
Fonte: Segnalato da Christian Zäske di SySS GmbH |
|||||
|
|
ZSB-22024 | 10/24/2022 | Analisi URL errata negli Zoom Client | Alta | CVE-2022-28763 |
|
Gravità: Alta Punteggio CVSS: 8.8 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Descrizione: La versione di Zoom Client for Meetings (per Android, iOS, Linux, macOS e Windows) precedente alla 5.12.2 è suscettibile di una vulnerabilità di analisi degli URL. Se viene aperto un URL di riunione Zoom dannoso, il link dannoso può indirizzare la connessione dell'utente verso un indirizzo di rete arbitrario, che porta a ulteriori attacchi, comprese le acquisizioni delle sessioni. Prodotti interessati:
Fonte: Segnalato dal Team per la sicurezza di Zoom |
|||||
|
|
ZSB-22023 | 10/11/2022 | Debug di configurazione errata delle porte nelle Zoom apps in Zoom Client for Meetings per macOS | Alta | CVE-2022-28762 |
|
Gravità: Alta Punteggio CVSS: 7.3 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
Descrizione: Zoom Client for Meetings per macOS (Standard e per amministratori IT) a partire dalla versione 5.10.6 e precedenti alla versione 5.12.0 contiene un errore di configurazione della porta di debug. Quando il contesto di rendering in modalità videocamera è abilitato come parte dell'API dei livelli dell'app Zoom, con mentre alcune Zoom Apps sono in esecuzione, il client Zoom apre una porta di debug locale. Un utente malintenzionato locale potrebbe sfruttare questa porta di debug per connettersi e controllare Zoom Apps in esecuzione nel client Zoom. Prodotti interessati:
Fonte: Segnalato dal Team per la sicurezza di Zoom |
|||||
|
|
ZSB-22022 | 10/11/2022 | Implementazioni Zoom in sede: controllo degli accessi non corretto | Medio | CVE-2022-28761 |
|
Gravità: Medio Punteggio CVSS: 6.5 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Descrizione: Il connettore riunioni Zoom in loco precedente alla versione 4.8.20220916.131 contiene una vulnerabilità di controllo improprio degli accessi. Di conseguenza, l'attore malintenzionato di una riunione o di un webinar per i quali ha l'autorizzazione potrebbe impedire ai partecipanti la ricezione di audio e video causando interruzioni della riunione. Prodotti interessati:
Fonte: Segnalato dal Team per la sicurezza dagli attacchi di Zoom |
|||||
|
|
ZSB-22021 | 09/13/2022 | Implementazioni Zoom in sede: controllo degli accessi non corretto | Medio | CVE-2022-28760 |
|
Gravità: Medio Punteggio CVSS: 6.5 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Descrizione: Il connettore riunioni Zoom in loco precedente alla versione 4.8.20220815.130 contiene una vulnerabilità di controllo degli accessi non corretta. Di conseguenza, un attore malintenzionato può partecipare a una riunione con l'autorizzazione senza apparire agli altri partecipanti. Prodotti interessati:
Fonte: Segnalato dal Team per la sicurezza dagli attacchi di Zoom |
|||||
|
|
ZSB-22020 | 09/13/2022 | Implementazioni Zoom in sede: controllo degli accessi non corretto | Alta |
CVE-2022-28758 CVE-2022-28759 |
|
Gravità: Alta Punteggio CVSS: 8.2 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Descrizione: Il connettore riunioni Zoom in loco precedente alla versione 4.8.20220815.130 contiene una vulnerabilità di controllo degli accessi non corretta. Di conseguenza, un attore malintenzionato potrebbe ottenere il feed audio e video di una riunione a cui non era autorizzato a partecipare e provocare altre interruzioni in riunione. Prodotti interessati:
Fonte: Segnalato dal Team per la sicurezza di Zoom |
|||||
|
|
ZSB-22019 | 08/17/2022 | Escalation dei privilegi locali in autoaggiornamento per Zoom Client for Meetings per macOS | Alta | CVE-2022-28757 |
|
Gravità: Alta Punteggio CVSS: 8.8 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Descrizione: Zoom Client for Meetings per macOS (Standard e per amministratore IT) a partire dalla versione 5.7.3 e precedente alla 5.11.6 contiene una vulnerabilità nel processo di aggiornamento automatico. Un utente locale con privilegi limitati può sfruttare questa vulnerabilità per eseguire l'escalation dei propri privilegi al root. Prodotti interessati:
Fonte: Segnalato da Csaba Fitzl (theevilbit) di Offensive Security |
|||||
|
|
ZSB-22018 | 08/13/2022 | Escalation dei privilegi locali in autoaggiornamento per i prodotti macOS Zoom [Updated 2022-09-13] | Alta | CVE-2022-28756 |
|
Gravità: Alta Punteggio CVSS: 8.8 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Descrizione: Zoom Client for Meetings per macOS (Standard e per amministratore IT) a partire dalla versione 5.7.3 e precedente alla 5.11.5 e Zoom Rooms for sale conferenze per macOS prima della versione 5.11.6 contiene una vulnerabilità nel processo di aggiornamento automatico. Un utente locale con privilegi limitati può sfruttare questa vulnerabilità per eseguire l'escalation dei propri privilegi al root. Prodotti interessati:
Fonte: Segnalato da Patrick Wardle di Objective-See |
|||||
|
|
ZSB-22017 | 08/09/2022 | Escalation dei privilegi locali per Zoom Client for Meetings per macOS | Alta | CVE-2022-28751 |
|
Gravità: Alta Punteggio CVSS: 8.8 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Descrizione: Zoom Client for Meetings per macOS (Standard e per amministratore IT) precedente alla versione 5.11.3 contiene una vulnerabilità nella convalida della firma del pacchetto durante l'aggiornamento. Un utente locale con privilegi limitati può sfruttare questa vulnerabilità per eseguire l'escalation dei propri privilegi al root. Prodotti interessati:
Fonte: Segnalato da Patrick Wardle di Objective-See |
|||||
|
|
ZSB-22014 | 08/09/2022 | Implementazioni Zoom in sede: controllo degli accessi non corretto | Alta |
CVE-2022-28753 CVE-2022-28754 |
|
Gravità: Alta Punteggio CVSS: 7.1 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N
Descrizione: Il connettore riunioni Zoom in loco precedente alla versione 4.8.129.20220714 contiene una vulnerabilità di controllo degli accessi non corretta. Di conseguenza, un attore malintenzionato può partecipare a una riunione con l'autorizzazione senza apparire agli altri partecipanti, può ammettere se stesso in riunione dalla sala d'attesa e può diventare organizzatore e causare altre interruzioni della riunione. Prodotti interessati:
Fonte: Segnalato dal Team per la sicurezza dagli attacchi di Zoom |
|||||
|
|
ZSB-22016 | 08/09/2022 | Analisi URL errata negli Zoom Client [Updated 2022-10-24] | Critico | CVE-2022-28755 |
|
Gravità: Critico Punteggio CVSS: 9.6 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Descrizione: La versione di Zoom Client for Meetings (per Android, iOS, Linux, macOS e Windows) precedente alla 5.11.0 è suscettibile di una vulnerabilità di analisi degli URL. Se viene aperto un URL di riunione Zoom dannoso, tale link potrebbe indirizzare l'utente a un indirizzo di rete arbitrario, portando a ulteriori attacchi, incluso il potenziale di esecuzione di codice remoto attraverso il lancio di eseguibili da percorsi arbitrari. Prodotti interessati:
Fonte: Segnalato dal Team per la sicurezza dagli attacchi di Zoom |
|||||
|
|
ZSB-22012 | 08/09/2022 | Implementazioni in sede Zoom: Buffer overflow dello stack nel connettore riunioni | Alta | CVE-2022-28750 |
|
Gravità: Alta Punteggio CVSS: 7.5 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Descrizione: Controller di zona del Connettore riunioni Zoom in sede precedente alla versione 4.8.20220419.112 non è in grado di analizzare correttamente i codici di errore STUN, il che può causare il danneggiamento della memoria e potrebbe consentire a un attore malintenzionato di arrestare l'applicazione in modo anomalo. Questa vulnerabilità, nelle versioni precedenti alla 4.8.12.20211115, può essere sfruttata anche per eseguire codice arbitrario. Prodotti interessati:
Fonte: Segnalato dal Team per la sicurezza dagli attacchi di Zoom |
|||||
|
|
ZSB-22011 | 06/14/2022 | Controllo dell'autorizzazione insufficiente durante l'accesso alla riunione | Medio | CVE-2022-28749 |
|
Gravità: Medio Punteggio CVSS: 6.5 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Descrizione: Il connettore riunioni in locale MMR di Zoom precedente alla versione 4.8.113.20220526 non è in grado di verificare correttamente le autorizzazioni dei partecipanti alla riunione Zoom. Di conseguenza, una persona potenzialmente pericolosa nella sala d'attesa di Zoom può partecipare alla riunione senza il consenso dell'organizzatore. Prodotti interessati:
Fonte: Segnalato dal Team per la sicurezza dagli attacchi di Zoom |
|||||
|
|
ZSB- 22010 | 06/14/2022 | Inserimento di DLL nel programma di installazione di Zoom Opener per Zoom e per i dispositivi per Zoom Rooms | Alta | CVE-2022-22788 |
|
Gravità: Alta Punteggio CVSS: 7.1 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
Descrizione: Il programma di installazione di Zoom Opener viene scaricato da un utente dalla pagina Avvia riunione, quando prova a partecipare a una riunione senza aver installato Zoom desktop client per le riunioni. Il programma di installazione di Zoom Opener per Zoom Client for Meetings precedente alla versione 5.10.3 e Zoom Rooms per la sala conferenze per Windows precedente alla versione 5.10.3 potrebbero subire un attacco di inserimento DLL. Questa vulnerabilità può essere utilizzata per eseguire un codice arbitrario sull'host della vittima. Prodotti interessati:
Fonte: Segnalato da James Tsz Ko Yeung |
|||||
|
|
ZSB-22009 | 05/17/2022 | Convalida del nome host insufficiente durante il cambio server in Zoom Client for Meetings | Medio | CVE-2022-22787 |
|
Gravità: Medio Punteggio CVSS: 5.9 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L
Descrizione: La versione di Zoom Client for Meetings (per Android, iOS, Linux, macOS e Windows) precedente alla 5.10.0 non riesce a convalidare correttamente il nome host durante una richiesta di cambio server Questo problema potrebbe essere sfruttato in un attacco più sofisticato che induce il client di un utente ignaro a connettersi a un server dannoso quando prova a utilizzare i servizi Zoom. Prodotti interessati:
Fonte: Segnalazione di Ivan Fratric di Google Project Zero |
|||||
|
|
ZSB-22008 | 05/17/2022 | Aggiorna pacchetto downgrade in Zoom Client for Meetings per Windows. | Alta | CVE-2022-22786 |
|
Gravità: Alta Punteggio CVSS: 7.5 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Descrizione: La versione di Zoom Client for Meetings precedente alla 5.10.0, e di Zoom Rooms per sale conferenze per Windows precedente alla versione 5.10.0 non riescono a verificare correttamente la versione di installazione durante la procedura di aggiornamento. Questo problema potrebbe essere sfruttato in un attacco più sofisticato per indurre un utente a eseguire il downgrade del proprio Zoom desktop client a una versione meno sicura. Prodotti interessati:
Fonte: Segnalazione di Ivan Fratric di Google Project Zero |
|||||
|
|
ZSB-22007 | 05/17/2022 | Cookie di sessione non correttamente vincolati in Zoom Client for Meetings | Medio | CVE-2022-22785 |
|
Gravità: Medio Punteggio CVSS: 5.9 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L
Descrizione: La versione di Zoom Client for Meetings (per Android, iOS, Linux, macOS e Windows) precedente alla 5.10.0 non riesce a vincolare correttamente i cookie di sessione del client ai domini Zoom. Questo problema potrebbe essere sfruttato in un attacco più sofisticato per inviare i cookie di sessione legati a Zoom di un utente, a un dominio non di Zoom. In questo modo, si potrebbe potenzialmente consentire lo spoofing di un utente Zoom. Prodotti interessati:
Fonte: Segnalazione di Ivan Fratric di Google Project Zero |
|||||
|
|
ZSB-22006 | 05/17/2022 | Analisi XML errata in Zoom Client for Meetings | Alta | CVE-2022-22784 |
|
Gravità: Alta Punteggio CVSS: 8.1 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Descrizione: La versione di Zoom Client for Meetings (per Android, iOS, Linux, macOS e Windows) precedente alla 5.10.0 non riesce ad analizzare correttamente le righe di testo XML nei messaggi XMPP. In questo modo, un utente malintenzionato può uscire dal contesto del messaggio XMPP corrente, e creare un nuovo contesto del messaggio per indicare al client dell'utente ricevente di eseguire diverse azioni. Questo problema può essere utilizzato in un attacco più sofisticato per falsificare i messaggi XMPP provenienti dal server. Prodotti interessati:
Fonte: Segnalazione di Ivan Fratric di Google Project Zero |
|||||
|
|
ZSB- 22005 | 04/27/2022 | Esposizione della memoria di processo nei servizi riunioni on-premise di Zoom | Alta | CVE-2022-22783 |
|
Gravità: Alta Punteggio CVSS: 8.3 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/CR:H
Descrizione: Una vulnerabilità del Controller del connettore riunioni on-premise di Zoom versione 4.8.102.20220310 e del Connettore riunioni on-premise MMR versione 4.8.102.20220310 espone frammenti di memoria di processo ai client connessi, che potrebbero essere controllati da un aggressore passivo. Prodotti interessati:
Fonte: Team per la sicurezza dagli attacchi di Zoom |
|||||
|
|
ZSB-22004 | 04/27/2022 | Escalation dei privilegi locali nei Client Windows Zoom | Alta | CVE-2022-22782 |
|
Gravità: Alta Punteggio CVSS: 7.9 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H
Descrizione: Zoom Client for Meetings per Windows precedente alla versione 5.9.7, Zoom Rooms per sale conferenze per Windows precedente alla versione 5.10.0, Plug-in Zoom per Microsoft Outlook per Windows precedente alla versione 5.10.3 e Client riunioni VDI Zoom di Windows precedente alla versione 5.9.6 erano soggetti ai problemi di escalation dei privilegi locali durante l'operazione di ripristino del programma di installazione. Un attore malintenzionato potrebbe utilizzarli per eliminare potenzialmente file o cartelle a livello di sistema, causando problemi di integrità o disponibilità sul computer host dell'utente. Prodotti interessati:
Fonte: Segnalato da Zero Day Initiative |
|||||
|
|
ZSB-22003 | 04/27/2022 | Aggiorna pacchetto downgrade in Zoom Client for Meetings per macOS | Alta | CVE-2022-22781 |
|
Gravità: Alta Punteggio CVSS: 7.5 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Descrizione: Zoom Client for Meetings macOS (Standard e per amministratori IT) precedente alla versione 5.9.6 non è riuscito a controllare correttamente la versione del pacchetto nel corso del processo di aggiornamento. In questo modo un attore malintenzionato potrebbe aggiornare la versione di un utente ignaro attualmente installata con una meno sicura. Prodotti interessati:
Fonte: Segnalato da Patrick Wardle di Objective-See |
|||||
|
|
ZSB-22002 | 02/08/2022 | Zoom Team Chat suscettibile a un attacco di Zip bomb | Medio | CVE-2022-22780 |
|
Gravità: Medio Punteggio CVSS: 4.7 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L
Descrizione: La funzionalità chat di Zoom Client for Meetings era soggetta agli attacchi di Zip bomb nelle seguenti versioni del prodotto: Android prima della versione 5.8.6, iOS prima della versione 5.9.0, Linux prima della versione 5.8.6, macOS prima della versione 5.7.3 e Windows prima della versione 5.6.3. Ciò potrebbe causare problemi di disponibilità nell'host client esaurendo le risorse di sistema. Prodotti interessati:
Fonte: Riportato da Johnny Yu di Walmart Global Tech |
|||||
|
|
ZSB-22001 | 02/08/2022 | Messaggi espansi conservati nei Keybase Client per macOS e Windows | Bassa | CVE-2022-22779 |
|
Gravità: Bassa Punteggio CVSS: 3.7 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
Descrizione: I Keybase Client per macOS e Windows precedenti alla versione 5.9.0 non rimuovono correttamente i messaggi espansi avviati da un utente. Ciò può accadere se l'utente ricevente passa a una funzionalità non di chat e sospende l'organizzatore prima che l'utente mittente espanda i messaggi. Ciò potrebbe portare alla divulgazione di informazioni sensibili che erano destinate all'eliminazione dal dispositivo del cliente. Prodotti interessati:
Fonte: Segnalato da Olivia O'Hara |
|||||
|
|
ZSB-21022 | 12/14/2021 | Esecuzione arbitraria di comandi in Keybase Client per Windows | Medio | CVE-2021-34426 |
|
Gravità: Medio Punteggio CVSS: 5.3 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
Descrizione: È stata riscontrata una vulnerabilità nel client Keybase per Windows prima della versione 5.6.0, quando un utente eseguiva il comando "keybase git lfs-config" nella riga di comando. Nelle versioni precedenti la 5.6.0, un attore malintenzionato con accesso in scrittura al repository Git di un utente può sfruttare questa vulnerabilità per eseguire potenzialmente comandi Windows arbitrari sul sistema locale di un utente. Prodotti interessati:
Fonte: Segnalato da RyotaK |
|||||
|
|
ZSB-21021 | 12/14/2021 | Contraffazione delle richieste sul lato server nel client Zoom per la chat Meetings | Medio | CVE-2021-34425 |
|
Gravità: Medio Punteggio CVSS: 4.7 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N
Descrizione: Il Zoom Client for Meetings precedente la versione 5.7.3 (per Android, iOS, Linux, macOS e Windows) contiene una vulnerabilità legata alla contraffazione delle richieste sul lato server nella funzionalità "anteprima link" della chat. Nelle versioni precedenti la 5.7.3, qualora un utente attivasse la funzione "anteprima link" della chat, un attore malintenzionato potrebbe indurre l'utente a inviare potenzialmente delle richieste HTTP GET arbitrarie agli URL che l'attore non può raggiungere direttamente. Prodotti interessati:
Fonte: Riportato da Johnny Yu di Walmart Global Tech |
|||||
|
|
ZSB-21020 | 11/24/2021 | Esposizione della memoria di processo in Zoom Client e in altri prodotti | Medio | CVE-2021-34424 |
|
Gravità: Medio Punteggio CVSS: 5.3 Sequenza del vettore CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Descrizione: È stata rilevata una vulnerabilità nei prodotti elencati nella sezione "Prodotti interessati" del presente bollettino, che potenzialmente consentiva l'esposizione dello stato della memoria di processo. Questo problema potrebbe essere utilizzato per ottenere informazioni potenzialmente dettagliate su aree arbitrarie della memoria del prodotto. Prodotti interessati:
Fonte: Riportato da Natalie Silvanovich di Google Project Zero |
|||||
|
|
ZSB-21019 | 11/24/2021 | Buffer overflow in Zoom desktop client e altri prodotti | Alta | CVE-2021-34423 |
|
Gravità: Alta Punteggio CVSS: 7.3 Sequenza del vettore CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Descrizione: È stata rilevata una vulnerabilità legata a un buffer overflow nei prodotti elencati nella sezione "Prodotti interessati" del presente bollettino. Questo può consentire a un attore malintenzionato di arrestare il servizio o l'applicazione, o di sfruttare questa vulnerabilità per eseguire arbitrariamente del codice. Prodotti interessati:
Fonte: Fonte: Riportato da Natalie Silvanovich di Google Project Zero |
|||||
|
|
ZSB-21018 | 11/09/2021 | Path traversal dei nomi dei file in Keybase Client per Windows | Alta | CVE-2021-34422 |
|
Gravità: Alta Punteggio CVSS: 7.2 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
Descrizione: Keybase Client per Windows prima della versione 5.7.0 contiene una vulnerabilità path traversal quando si controlla il nome di un file caricato in una cartella del team. Un utente malintenzionato potrebbe caricare un file in una cartella condivisa con un nome di file creato in modo da consentire a un utente di eseguire un'applicazione non prevista sul computer ospite. Se un utente malintenzionato ha sfruttato questo problema con la funzionalità di condivisione delle cartelle pubbliche di Keybase Client, questo potrebbe portare all'esecuzione di codice in modalità remota. Prodotti interessati:
Fonte: Riportato da m4t35z |
|||||
|
|
ZSB-21017 | 11/09/2021 | Messaggi espansi conservati in Keybase Client per Android e iOS | Bassa | CVE-2021-34421 |
|
Gravità: Bassa Punteggio CVSS: 3.7 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
Descrizione: Keybase Client per Android prima della versione 5.8.0 e Keybase Client per iOS prima della versione 5.8.0 non riescono a rimuovere correttamente i messaggi espansi avviati da un utente, se l'utente ricevente mette in background la sessione di chat di testo mentre l'utente mittente espande i messaggi. Questo potrebbe portare alla divulgazione di informazioni sensibili che erano destinate a essere eliminate dal dispositivo del cliente. Prodotti interessati:
Fonte: Riportato da Olivia o'Hara, John Jackson, Jackson Henry e Robert Willis |
|||||
|
|
ZSB-21016 | 11/09/2021 | Firma dell'eseguibile di installazione di Zoom per Windows ignorata | Medio | CVE-2021-34420 |
|
Gravità: Medio Punteggio CVSS: 4.7 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N
Descrizione: Il programma di installazione del Zoom Client for Meetings per Windows prima della versione 5.5.4 non verifica correttamente la firma dei file con estensione .msi, .ps1 e .bat. Questo potrebbe causare l'installazione di software dannoso sul computer di un cliente da parte di un attore malintenzionato. Prodotti interessati:
Fonte: Riportato da Laurent Delosieres di ManoMano |
|||||
|
|
ZSB-21015 | 11/09/2021 | Inserimento di HTML in Zoom Client per Linux | Bassa | CVE-2021-34419 |
|
Gravità: Bassa Punteggio CVSS: 3.7 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
Descrizione: Nel Zoom Client for Meetings per Ubuntu Linux prima della versione 5.1.0, si è verificato un errore di iniezione HTML quando si invia una richiesta di controllo remoto a un utente nel processo di condivisione dello schermo durante la riunione. Questo potrebbe consentire ai partecipanti alla riunione di essere oggetto di attacchi di social engineering. Prodotti interessati:
Fonte: Riportato da Danny de Weille e Rick Verdoes di hackdefense |
|||||
|
|
ZSB-21014 | 11/09/2021 | Crash del puntatore pre-auth null nella console web on-premise | Medio | CVE-2021-34418 |
|
Gravità: Medio Punteggio CVSS: 4.0 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L Descrizione: Il servizio di accesso alla console Web per i prodotti elencati nella sezione "Prodotti interessati" del presente bollettino non convalida l'invio di un byte NULL durante l'autenticazione. Questo potrebbe causare un arresto anomalo del servizio di accesso. Prodotti interessati:
Fonte: Riportato da Jeremy Brown |
|||||
|
|
ZSB-21013 | 11/09/2021 | Esecuzione di comandi remoti autenticati con privilegi root tramite console Web in MMR | Alta | CVE-2021-34417 |
|
Gravità: Alta Punteggio CVSS: 7.9 Sequenza del vettore CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N Descrizione: La pagina del proxy di rete sul web portal per i prodotti elencati nella sezione "Prodotti interessati" del presente bollettino non convalida l'input inviato nelle richieste di impostazione della password del proxy di rete. Questo potrebbe causare l'inserimento di comandi remoti da parte di un amministratore del web portal. Prodotti interessati:
Fonte: Riportato da Jeremy Brown |
|||||
|
|
ZSB-21012 | 09/30/2021 | Esecuzione di codice in modalità remota sulle immagini On-Prem tramite portale web | Medio | CVE-2021-34416 |
|
Gravità: Medio Punteggio CVSS: 5.5 Sequenza del vettore CVSS: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N Descrizione: Il web portal delle impostazioni di amministrazione degli indirizzi di rete per il Connettore riunioni on-premise di Zoom prima della versione 4.6.360.20210325, il Connettore riunioni MMR on-premise di Zoom prima della versione 4.6.360.20210325, il Connettore registrazione on-premise di Zoom prima della versione 3.8.44.20210326, il Connettore sala virtuale on-premise di Zoom prima della versione 4.4.6752.20210326 e il Connettore sala virtuale on-premise Load Balancer di Zoom prima della versione 2.5.5495.20210326 non riesce a convalidare l'input inviato nelle richieste di aggiornamento della configurazione di rete, il che potrebbe portare all'inserimento di comandi remoti sull'immagine on-premise da parte degli amministratori del web portal. Prodotti interessati:
Fonte: Segnalato da Egor Dimitrenko di Positive Technologies |
|||||
|
|
ZSB-21011 | 09/30/2021 | ZC si blocca utilizzando una PDU che causa molte allocazioni | Alta | CVE-2021-34415 |
|
Gravità: Alta Punteggio CVSS: 7.5 Sequenza del vettore CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H Descrizione: Il servizio del Controller di zona nel controller del Connettore riunioni on-premise di Zoom prima della versione 4.6.358.20210205 non verifica il campo cnt inviato nei pacchetti di rete in entrata, portando all'esaurimento delle risorse e al blocco del sistema. Prodotti interessati:
Fonte: Riportato da Nikita Abramov di Positive Technologies |
|||||
|
|
ZSB-21010 | 09/30/2021 | Esecuzione di codice in modalità remota sul server Connettore riunioni tramite configurazione del proxy di rete WebPortal | Medio | CVE-2021-34414 |
|
Gravità: Medio Punteggio CVSS: 7.2 Sequenza del vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H Descrizione: La pagina del proxy di rete nel web portal per il controller del Connettore riunioni on-premise di Zoom prima della versione 4.6.348.20201217, il Connettore riunioni MMR on-premise di Zoom prima della versione 4.6.348.20201217, il Connettore registrazione on-premise di Zoom prima della versione 3.8.42.20200905, il Connettore sala virtuale on-premise di Zoom prima della versione 4.4.6620.20201110 e il Connettore sala virtuale on-premise Load Balancer di Zoom prima della versione 2.5.5495.20210326 non riesce a convalidare l'input inviato nelle richieste di aggiornamento della configurazione di rete, il che potrebbe portare all'inserimento di comandi remoti sull'immagine on-premise da parte di un amministratore del web portal. Prodotti interessati:
Fonte: Segnalato da Egor Dimitrenko di Positive Technologies |
|||||
|
|
ZSB-21009 | 09/30/2021 | Escalation dei privilegi locali del programma di installazione del Plugin Zoom macOS per Outlook | Bassa | CVE-2021-34413 |
|
Gravità: Bassa Punteggio CVSS: 2.8 Sequenza del vettore CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N Descrizione: Tutte le versioni del Plugin Zoom per Microsoft Outlook per macOS precedenti alla versione 5.3.52553.0918 contengono una vulnerabilità legata al tempo di controllo/tempo di utilizzo (TOC/TOU) durante il processo di installazione del plug-in. Questo potrebbe consentire a un utente standard di scrivere una propria applicazione dannosa nella directory del plug-in, consentendo l'esecuzione dell'applicazione dannosa in un contesto privilegiato. Prodotti interessati:
Fonte: Grazie al Red Team di Lockheed Martin |
|||||
|
|
ZSB-21008 | 09/30/2021 | Escalation dei privilegi locali del programma di installazione di Zoom for Windows | Medio | CVE-2021-34412 |
|
Gravità: Medio Punteggio CVSS: 4.4 Sequenza del vettore CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Descrizione: Durante il processo di installazione di tutte le versioni del Zoom Client for Meetings per Windows prima della versione 5.4.0, è possibile avviare Internet Explorer. Se il programma di installazione è stato avviato con privilegi elevati, ad esempio da SCCM, può verificarsi un'escalation dei privilegi locali. Prodotti interessati:
Fonte: Grazie al Red Team di Lockheed Martin |
|||||
|
|
ZSB-21007 | 09/30/2021 | Escalation di privilegi locali di Zoom Rooms Installer | Medio | CVE-2021-34411 |
|
Gravità: Medio Punteggio CVSS: 4.4 Sequenza del vettore CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Descrizione: Durante il processo di installazione di Zoom Rooms per sala conferenze per Windows prima della versione 5.3.0 è possibile avviare Internet Explorer con privilegi elevati. Se il programma di installazione è stato avviato con privilegi elevati, ad esempio da SCCM, può verificarsi un'escalation dei privilegi locali. Prodotti interessati:
Fonte: Grazie al Red Team di Lockheed Martin |
|||||
|
|
ZSB-21004 | 09/30/2021 | Programma di installazione MSI di Zoom elevato in scrittura utilizzando una junction | Alta | CVE-2021-34408 |
|
Gravità: Alta Punteggio CVSS: 7.0 Sequenza del vettore CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Descrizione: Una directory scrivibile dall'utente creata durante l'installazione del Zoom Client for Meetings per Windows precedente alla versione 5.3.2 può essere reindirizzata in un'altra posizione utilizzando una junction. In questo modo, un utente malintenzionato potrebbe sovrascrivere i file che un utente con limitazioni non sarebbe in grado di modificare. Prodotti interessati:
Fonte: Grazie al Red Team di Lockheed Martin |
|||||
|
|
ZSB-21003 | 09/30/2021 | Firma digitale del programma di installazione di Zoom for Windows ignorata | Alta | CVE-2021-33907 |
|
Gravità: Alta Punteggio CVSS: 7.0 Sequenza del vettore CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H/MPR:N/MUI:R/MS:U/MC:H/MI:H/MA:H
Descrizione: Il Zoom Client for Meetings per Windows in tutte le versioni precedenti alla 5.3.0 non convalida correttamente le informazioni del certificato utilizzate per firmare i file .msi quando si esegue un aggiornamento del client. Questo potrebbe portare all'esecuzione di codice in modalità remota in un contesto con privilegi elevati. Prodotti interessati:
Fonte: Grazie al Red Team di Lockheed Martin |
|||||
|
|
ZSB-21002 | 08/13/2021 | Scrittura heap overflow da buffer statico deselezionata dal messaggio XMPP | Alta | CVE-2021-30480 |
|
Gravità: Alta Punteggio CVSS: 8.1 Sequenza del vettore CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H
Descrizione: Prima della versione 5.6.3 esiste un buffer overflow basato su heap in tutte le versioni desktop dei Zoom Client for Meetings. Questo è stato segnalato a Zoom nell'ambito di come parte del Pwn20wn Vancouver 2021. La catena di attacco dimostrata durante il Pwn20wn è stata attenuata da una modifica sul lato server dell'infrastruttura Zoom, il 9/4/2021. Prodotti interessati:
Fonte: Segnalato da Daan Keuper e Thijs Alkemade di Computest, attraverso la Zero Day Initiative |
|||||
|
|
ZSB-21001 | 03/26/2021 | Finestra dell’applicazione funzionalità di Condivisione dello schermo | Medio | CVE-2021-28133 |
|
Gravità: Medio Punteggio CVSS: 5,7 Sequenza del vettore CVSS: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N
Descrizione: Una vulnerabilità ha colpito la funzionalità di condivisione dello schermo di Zoom Windows e dei client Linux durante la condivisione delle finestre delle singole applicazioni, in cui il contenuto dello schermo delle applicazioni, che non è esplicitamente condiviso dagli utenti che condividono lo schermo può essere visualizzato da altri partecipanti alla riunione per breve tempo se la persona che "condivide" ha ridotto a icona, ingrandito o chiuso un'altra finestra. Prodotti interessati:
Fonte: Scoperto da Michael Stramez e Matthias Deeg. |
|||||
|
|
ZSB-20002 | 08/14/2020 | DLL di Windows nel servizio di condivisione di Zoom | Alta | CVE-2020-9767 |
|
Gravità: Alta Punteggio CVSS: 7.8 Sequenza del vettore CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Descrizione: Una vulnerabilità correlata alla libreria a collegamento dinamico ("DLL") in corso nel servizio di condivisione di Zoom potrebbe consentire a un utente di Windows locale di acquisire privilegi più elevati di quelli previsti per un utente NT AUTHORITY/SYSTEM. Prodotti interessati:
Fonte: Connor Scott di Context Information Security |
|||||
|
|
ZSB-20001 | 05/04/2020 | Zoom IT Installer per Windows | Alta | CVE-2020-11443 |
|
Gravità: Alta Punteggio CVSS: Base: 8.4 Sequenza del vettore CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H
Descrizione: Una vulnerabilità nella modalità in cui il programma di installazione di Zoom Windows gestisce le giunzioni durante l’eliminazione dei file potrebbe consentire a un utente Windows locale di eliminare file altrimenti non eliminabili dall'utente. Prodotti interessati:
Fonte: Grazie al Lockheed Martin Red Team. |
|||||
|
|
ZSB-19003 | 07/12/2019 | ZoomOpener daemon | Alta | CVE-2019-13567 |
|
Gravità: Alta Punteggio CVSS: Base: 7.5 Sequenza del vettore CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Descrizione: Una vulnerabilità in Zoom desktop client per macOS potrebbe consentire a un malintenzionato di scaricare un software dannoso per il dispositivo della vittima. Prodotti interessati:
Fonte: Sconosciuto. |
|||||
|
|
ZSB-19002 | 07/09/2019 | Impostazione video predefinita | Bassa | CVE-2019-13450 |
|
Gravità: Bassa Punteggio CVSS: Base: 3.1 Sequenza del vettore CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
Descrizione: Una vulnerabilità in Zoom desktop client per macOS e nel client RingCentral potrebbe consentire a un utente remoto, malintenzionato e non autenticato di costringere un utente a partecipare a una videochiamata con la videocamera attiva. Prodotti interessati:
Fonte: Scoperto da Jonathan Leitschuh. |
|||||
|
|
ZSB-19001 | 07/09/2019 | Attacco denial of service: macOS | Bassa | CVE-2019-13449 |
|
Gravità: Bassa Punteggio CVSS: Base: 3.1 Sequenza del vettore CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Descrizione: Una vulnerabilità in Zoom desktop client per macOS potrebbe consentire a un utente remoto, non autenticato e malintenzionato di attivare una condizione denial of service sul sistema della vittima. Prodotti interessati:
Fonte: Scoperto da Jonathan Leitschuh. |
|||||
| No results found | |||||
Per ricevere la notifica dei futuri bollettini di sicurezza Zoom, forniscici un l'indirizzo e-mail personale. (Attenzione: le e-mail con pseudonimi non riceveranno tali notifiche).