Trust Center Security, Privacy, Blogs Additional Resources

보안 게시판

Log4j 대응에 관한 자세한 내용은 Apache Log4j Disclosure에 대한 Zoom 보안 게시판을 확인하세요.

Severity All
  • Severity All
  • Critical
  • High
  • Medium
  • Low
CVE All
  • CVE All
  • CVE-2023-28597
  • CVE-2023-28596
  • CVE-2023-22883
  • CVE-2023-22881
    CVE-2023-22882
  • CVE-2023-22880
  • CVE-2022-36930
  • CVE-2022-36929
  • CVE-2022-36928
  • CVE-2022-36926
    CVE-2022-36927
  • CVE-2022-36925
  • CVE-2022-36924
  • CVE-2022-28768
  • CVE-2022-28766
  • CVE-2022-28764
  • CVE-2022-28763
  • CVE-2022-28762
  • CVE-2022-28761
  • CVE-2022-28760
  • CVE-2022-28758
    CVE-2022-28759
  • CVE-2022-28757
  • CVE-2022-28756
  • CVE-2022-28751
  • CVE-2022-28753
    CVE-2022-28754
  • CVE-2022-28755
  • CVE-2022-28752
  • CVE-2022-28750
  • CVE-2022-28749
  • CVE-2022-22788
  • CVE-2022-22787
  • CVE-2022-22786
  • CVE-2022-22785
  • CVE-2022-22784
  • CVE-2022-22783
  • CVE-2022-22782
  • CVE-2022-22781
  • CVE-2022-22780
  • CVE-2022-22779
  • CVE-2021-34426
  • CVE-2021-34425
  • CVE-2021-34424
  • CVE-2021-34423
  • CVE-2021-34422
  • CVE-2021-34421
  • CVE-2021-34420
  • CVE-2021-34419
  • CVE-2021-34418
  • CVE-2021-34417
  • CVE-2021-34416
  • CVE-2021-34415
  • CVE-2021-34414
  • CVE-2021-34413
  • CVE-2021-34412
  • CVE-2021-34411
  • CVE-2021-34408
  • CVE-2021-33907
  • CVE-2021-30480
  • CVE-2021-28133
  • CVE-2020-9767
  • CVE-2020-11443
  • CVE-2019-13567
  • CVE-2019-13450
  • CVE-2019-13449
검색

보안 게시판

ZSB Date Title Severity CVE (if applicable)
ZSB-23005 03/14/2023 Zoom 클라이언트의 SMB에 대한 부적절한 신뢰 경계 구현 High CVE-2023-28597

Severity: High

CVSS Score: 8.3

CVSS Vector String: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

Description: Zoom 클라이언트 5.13.5 이전 버전에는 부적절한 신뢰 경계 구현 취약성이 포함되어 있습니다. 피해자가 로컬 녹화물을 SMB 위치에 저장하고 나중에 Zoom의 웹 포털에서 링크를 사용하여 여는 경우 피해자 클라이언트와 인접한 네트워크에 위치한 공격자는 악의적인 SMB 서버가 클라이언트 요청에 응답하도록 설정하여 클라이언트가 공격자가 제어하는 ​​실행 파일을 실행하도록 할 수 있습니다. 공격자는 이렇게 사용자의 기기와 데이터에 액세스하고 원격 코드를 실행할 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Zoom(Android, iOS, Linux, macOS, Windows용) 클라이언트 5.13.5 이전 버전
  • Zoom Rooms(Android, iOS, Linux, macOS, Windows용) 클라이언트 5.13.5 이전 버전
  • Zoom VDI Windows 미팅 클라이언트 5.13.10 이전 버전

Source: Zoom 공격 보안 팀에서 보고함

ZSB-23004 03/14/2023 Zoom for macOS 설치 프로그램의 로컬 권한 에스컬레이션 Medium CVE-2023-28596

Severity: Medium

CVSS Score: 5.2

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L

Description: IT 관리자용 Zoom 클라이언트 macOS 설치 프로그램 5.13.5 이전 버전에는 로컬 권한 에스컬레이션 취약성이 포함되어 있습니다. 권한이 낮은 로컬 사용자는 설치 프로세스 중에 공격 체인에서 이 취약성을 악용하여 자신의 권한을 루트 권한으로 에스컬레이션할 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • IT 관리자용 Zoom Client for Meetings macOS 설치 프로그램 5.13.5 이전 버전

Source: Koh M. Nakagawa(tsunekoh)가 보고함

ZSB-23003 03/14/2023 Zoom for Windows 설치 프로그램의 로컬 권한 에스컬레이션 High CVE-2023-22883

Severity: High

CVSS Score: 7.2

CVSS Vector String: CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:N/I:H/A:H

Description: IT 관리자용 Zoom 클라이언트 Windows 설치 프로그램 5.13.5 이전 버전에는 로컬 권한 에스컬레이션 취약성이 포함되어 있습니다. 권한이 낮은 로컬 사용자는 설치 프로세스 중에 공격 체인에서 이 취약성을 악용하여 자신의 권한을 시스템 사용자로 에스컬레이션할 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • IT 관리자용 Zoom Client for Meetings Windows 설치 프로그램 5.13.5 이전 버전

Source: sim0nsecurity에서 보고함

ZSB-23002 03/14/2023 Zoom 클라이언트의 서비스 거부 Medium CVE-2023-22881
CVE-2023-22882

Severity: Medium

CVSS Score: 6.5

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Description: Zoom 클라이언트 5.13.5 이전 버전에는 STUN 구문 분석 취약성이 포함되어 있습니다. 악의적 행위자는 피해자 Zoom 클라이언트에 특별히 제작된 UDP 트래픽을 전송하여 원격으로 클라이언트를 충돌시켜 서비스 거부를 일으킬 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Zoom(Android, iOS, Linux, macOS, Windows용) 클라이언트 5.13.5 이전 버전

Source: Zoom 공격 보안 팀에서 보고함

ZSB-23001 03/14/2023 Zoom for Windows 클라이언트의 정보 공개 Medium CVE-2023-22880

Severity: Medium

CVSS Score: 6.8

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N

Description: Zoom for Windows Client 5.13.3 이전 버전, Zoom Rooms for Windows Client 5.13.5 이전 버전, Zoom VDI for Windows Client 5.13.1 이전 버전에는 정보 공개 취약성이 포함되어 있습니다. 영향을 받는 Zoom 클라이언트에서 사용하는 Microsoft Edge WebView2 런타임에 대한 최근 업데이트에서는 텍스트를 로컬 Windows Spellcheck 대신 Microsoft의 온라인 Spellcheck 서비스로 전송했습니다. Zoom을 업데이트하면 기능을 비활성화하여 이 취약성을 해결합니다. Microsoft Edge WebView2 Runtime을 버전 109.0.1481.0 이상으로 업데이트하고 Zoom을 다시 시작하면 Microsoft의 원격 측정 동작을 업데이트하여 이 취약성이 해결됩니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Zoom for Windows Client 5.13.3 이전 버전
  • Zoom Rooms for Windows 클라이언트 5.13.3 이전 버전
  • Zoom VDI for Windows 클라이언트 5.13.1 이전 버전

Source: Zoom 보안 팀에서 보고함

ZSB-22035 01/06/2023 Zoom Rooms for Windows 설치 프로그램의 로컬 권한 에스컬레이션 High CVE-2022-36930

Severity: High

CVSS Score: 8.2

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Description: Zoom Rooms for Windows 설치 프로그램 5.13.0 이전 버전에는 로컬 권한 에스컬레이션 취약성이 포함되어 있습니다. 권한이 낮은 로컬 사용자는 공격 체인에서 이 취약성을 악용하여 자신의 권한을 시스템 사용자로 에스컬레이션할 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Zoom Rooms for Windows 설치 프로그램 5.13.0 이전 버전

Source: sim0nsecurity에서 보고함

ZSB-22034 01/06/2023 Zoom Rooms for Windows Client의 로컬 권한 에스컬레이션 High CVE-2022-36929

Severity: High

CVSS Score: 7.8

CVSS Vector String: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Zoom Rooms for Windows Client 5.12.7 이전 버전에는 로컬 권한 에스컬레이션 취약성이 포함되어 있습니다. 권한이 낮은 로컬 사용자는 공격 체인에서 이 취약성을 악용하여 자신의 권한을 시스템 사용자로 에스컬레이션할 수 있습니다.
사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Zoom Rooms for Windows Client 5.12.7 이전 버전

Source: sim0nsecurity에서 보고함

ZSB-22033 01/06/2023 Zoom for Android Client의 경로 순회 Critical CVE-2022-36928

Severity: Critical

CVSS Score: 6.1

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N

Description: Zoom for Android Client 5.13.0 이전 버전에는 경로 순회 취약성이 포함되어 있습니다. 타사 앱은 이 취약성을 악용하여 Zoom 애플리케이션 데이터 디렉터리를 읽고 쓸 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Zoom for Android Client 5.13.0 이전 버전

Source: Microsoft의 Dimitrios Valsamaras가 보고함

ZSB-22032 01/06/2023 Zoom Rooms for macOS Client의 로컬 권한 에스컬레이션 Critical CVE-2022-36926
CVE-2022-36927

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Zoom Rooms for macOS Client 5.11.3 이전 버전에는 로컬 권한 에스컬레이션 취약성이 포함되어 있습니다. 권한이 낮은 로컬 사용자는 이 취약점을 악용하여 권한을 루트로 에스컬레이션할 수 있습니다.
사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Zoom Rooms for macOS Client 5.11.3 이전 버전

Source: Kirin(Pwnrin)이 보고함

ZSB-22031 01/06/2023 Zoom Rooms for macOS Client에 대한 안전하지 않은 키 생성 Critical CVE-2022-36925

Severity: Critical

CVSS Score: 4.4

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

Description: Zoom Rooms for macOS Client 5.11.4 이전 버전에는 안전하지 않은 키 생성 메커니즘이 포함되어 있습니다. Zoom Rooms 데몬 서비스와 Zoom Rooms 클라이언트 사이의 IPC에 사용되는 암호화 키는 권한이 낮은 로컬 애플리케이션에서 얻을 수 있는 매개 변수를 사용하여 생성되었습니다. 그런 다음 해당 키를 사용하여 데몬 서비스와 상호 작용하여 권한 있는 기능을 실행하고 로컬 서비스 거부를 발생시킬 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Zoom Rooms for macOS 5.11.4 이전 버전

Source: Kirin(Pwnrin)이 보고함

ZSB-22030 11/15/2022 Windows용 Zoom Rooms 설치 프로그램의 로컬 권한 에스컬레이션 Critical CVE-2022-36924

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Windows용 Zoom Rooms 설치 프로그램 5.12.6 이전 버전에는 로컬 권한 에스컬레이션 취약점이 포함되어 있습니다. 권한이 낮은 로컬 사용자는 설치 프로세스 중에 이 취약점을 악용하여 시스템 사용자에게 권한을 에스컬레이션할 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Windows용 Zoom Rooms 설치 프로그램 5.12.6 이전 버전

Source: sim0nsecurity에서 보고함

ZSB-22029 11/15/2022 macOS용 Zoom 클라이언트 설치 프로그램의 로컬 권한 에스컬레이션 Critical CVE-2022-28768

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: macOS용 Zoom Client for Meetings 설치 프로그램(표준 및 IT 관리자용) 5.12.6 이전 버전에는 로컬 권한 에스컬레이션 취약점이 포함되어 있습니다. 권한이 낮은 로컬 사용자는 설치 프로세스 중에 이 취약점을 악용하여 루트에 권한을 에스컬레이션할 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • macOS용 Zoom Client for Meetings 설치 프로그램(표준 및 IT 관리자용) 5.12.6 이전 버전

Source: Koh M. Nakagawa(tsunekoh)가 보고함

ZSB-22027 11/15/2022 Zoom Windows 클라이언트의 DLL 삽입 Critical CVE-2022-28766

Severity: Critical

CVSS Score: 8.1

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L

Description: Zoom Client for Meetings 5.12.6 이전 버전 및 회의실용 Zoom Rooms 5.12.6 이전 버전의 Windows 32비트 버전에는 DLL 삽입 취약성이 있습니다. 권한이 낮은 로컬 사용자는 이 취약점을 악용하여 Zoom 클라이언트의 컨텍스트에서 임의의 코드를 실행하는 데 사용할 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Windows용 Zoom Client for Meetings(32비트) 5.12.6 이전 버전
  • Windows용 Zoom VDI Windows 미팅 클라이언트(32비트) 5.12.6 이전 버전
  • Windows용 회의실용 Zoom Rooms(32비트) 5.12.6 이전 버전

Source: sim0nsecurity에서 보고함

ZSB-22025 11/10/2022 Zoom 클라이언트의 로컬 정보 노출 Critical CVE-2022-28764

Severity: Critical

CVSS Score: 3.3

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Description: Zoom Client for Meetings(Android, iOS, Linux, macOS, Windows용) 5.12.6 이전 버전에서 로컬 정보 노출 취약점이 발견되었습니다.

미팅이 종료된 후 로컬 SQL 데이터베이스에서 데이터를 지우지 못하고 해당 데이터베이스를 암호화하는 데 보안이 충분하지 않은 기기당 키를 사용하면 해당 로컬 사용자 계정에서 참석한 이전 미팅의 미팅 중 채팅과 같은 미팅 정보를 로컬의 악의적인 사용자가 취득하게 될 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Zoom Client for Meetings(Android, iOS, Linux, macOS 및 Windows용) 5.12.6 이전 버전
  • Zoom VDI Windows용 미팅 클라이언트 5.12.6 이전 버전
  • 회의실용 Zoom Rooms 5.12.6 이전 버전(Android, iOS, Linux, macOS 및 Windows용)

Source: SySS GmbH의 Christian Zäske가 보고함

ZSB-22024 10/24/2022 Zoom 클라이언트의 잘못된 URL 구문 분석 Critical CVE-2022-28763

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Description: Zoom Client for Meetings(Android, iOS, Linux, macOS, Windows용) 5.12.2 이전 버전에서 URL 구문 분석 취약점이 발견되었습니다. 악성 Zoom 미팅 URL이 공개된 경우 악성 링크가 사용자가 임의의 네트워크 주소에 연결하도록 유도하여 세션 탈취를 비롯한 추가 공격을 유발할 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Zoom Client for Meetings(Android, iOS, Linux, macOS 및 Windows용) 5.12.2 이전 버전
  • Zoom VDI Windows용 미팅 클라이언트 5.12.2 이전 버전
  • 회의실용 Zoom Rooms 5.12.2 이전 버전(Android, iOS, Linux, macOS 및 Windows용)

Source: Zoom 보안 팀에서 보고함

ZSB-22023 10/11/2022 macOS용 Zoom Client for Meetings의 Zoom 앱의 디버깅 포트 구성 오류 Critical CVE-2022-28762

Severity: Critical

CVSS Score: 7.3

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

Description: macOS용 Zoom Client for Meetings(표준 및 IT 관리자용)의 5.10.6 버전부터 5.12.0 이전 버전에 디버깅 포트 구성 오류가 있습니다. 특정 Zoom 앱를 실행하여 카메라 모드 렌더링 컨텍스트를 Zoom 애플리케이션 레이어 API의 일부로 활성화하면 Zoom 클라이언트에서 로컬 디버깅 포트가 열립니다. 로컬의 악의적인 사용자가 이 디버깅 포트를 사용하여 Zoom 클라이언트에서 실행되는 Zoom 앱에 연결하고 앱을 제어할 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • macOS용 Zoom Client for Meetings(표준 및 IT 관리자용) 5.10.6 버전부터 5.12.0 이전 버전

Source: Zoom 보안 팀에서 보고함

ZSB-22022 10/11/2022 Zoom 온-프레미스 배포: 부적절한 액세스 컨트롤 Critical CVE-2022-28761

Severity: Critical

CVSS Score: 6.5

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Description: Zoom 온-프레미스 미팅 커넥터 MMR 4.8.20220916.131 이전 버전에서 부적절한 액세스 컨트롤 취약점이 발견되었습니다. 그 결과로 악의적인 행위자가 해당 행위자에게 참가 권한이 있는 모임 또는 웹 세미나에서 참가자가 오디오 및 비디오를 수신하지 못하게 하여 미팅을 방해할 수 있습니다.

Zoom 온-프레미스 배포의 경우 IT 관리자는 https://support.zoom.us/hc/en-us/articles/360043960031에 따라 Zoom 소프트웨어를 최신 상태로 유지할 수 있습니다.

Affected Products:

  • Zoom 온-프레미스 미팅 커넥터 MMR 4.8.20220916.131 이전 버전

Source: Zoom 공격 보안 팀에서 보고함

ZSB-22021 09/13/2022 Zoom 온-프레미스 배포: 부적절한 액세스 컨트롤 Critical CVE-2022-28760

Severity: Critical

CVSS Score: 6.5

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Description: Zoom 온-프레미스 미팅 커넥터 MMR 4.8.20220815.130 이전 버전에서 부적절한 액세스 컨트롤 취약점이 발견되었습니다. 따라서 악의적 행위자는 다른 참가자에게 표시되지 않고 참가 권한이 있는 미팅에 참여할 수 있습니다.

Zoom 온-프레미스 배포의 경우 IT 관리자는 https://support.zoom.us/hc/en-us/articles/360043960031에 따라 Zoom 소프트웨어를 최신 상태로 유지할 수 있습니다.

Affected Products:

  • Zoom 온-프레미스 미팅 커넥터 MMR 4.8.20220815.130 이전 버전

Source: Zoom 공격 보안 팀에서 보고함

ZSB-22020 09/13/2022 Zoom 온-프레미스 배포: 부적절한 액세스 컨트롤 Critical CVE-2022-28758
CVE-2022-28759

Severity: Critical

CVSS Score: 8.2

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Description: Zoom 온-프레미스 미팅 커넥터 MMR 4.8.20220815.130 이전 버전에서 부적절한 액세스 컨트롤 취약점이 발견되었습니다. 따라서 악의적 행위자는 참여 권한이 없는 미팅의 오디오 및 비디오 피드를 획득하여 다른 미팅을 방해할 수 있습니다.

Zoom 온-프레미스 배포의 경우 IT 관리자는 https://support.zoom.us/hc/en-us/articles/360043960031에 따라 Zoom 소프트웨어를 최신 상태로 유지할 수 있습니다.

Affected Products:

  • Zoom 온-프레미스 미팅 커넥터 MMR 4.8.20220815.130 이전 버전

Source: Zoom 보안 팀에서 보고함

ZSB-22019 08/17/2022 macOS용 Zoom Client for Meetings 자동 업데이터의 로컬 권한 에스컬레이션 Critical CVE-2022-28757

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: macOS용 Zoom Client for Meetings(표준 및 IT 관리자용) 5.7.3 버전부터 5.11.6 이전 버전에서 자동 업데이트 프로세스 취약점이 발견되었습니다. 권한이 낮은 로컬 사용자는 이 취약점을 악용하여 권한을 루트로 에스컬레이션할 수 있습니다.

참고: 이 문제로 인해 CVE-2022-28756을 해결하기 위해 5.11.5에서 발행된 패치를 우회할 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • macOS용 Zoom Client for Meetings(표준 및 IT 관리자용) 5.7.3 버전부터 5.11.6 이전 버전

Source: 공격 보안 팀의 Csaba Fitzl(theevilbit)이 보고함

ZSB-22018 08/13/2022 macOS Zoom 제품용 자동 업데이터의 로컬 권한 에스컬레이션 [Updated 2022-09-13] Critical CVE-2022-28756

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: macOS용 Zoom Client for Meetings(표준 및 IT 관리자용) 5.7.3 버전부터 5.11.5 이전 버전 및 macOS용 Zoom Rooms for Conference Room 5.11.6 이전 버전에서 자동 업데이트 프로세스 취약점이 발견되었습니다. 권한이 낮은 로컬 사용자는 이 취약점을 악용하여 권한을 루트로 에스컬레이션할 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

*변경 사항 - 2022-09-13 - 제목, 설명을 업데이트하고 "영향을 받는 제품" 섹션에 Zoom Rooms를 추가했습니다.

Affected Products:

  • macOS용 Zoom Client for Meetings(표준 및 IT 관리자용) 5.7.3 버전부터 5.11.5 이전 버전
  • macOS용 회의실용 Zoom Rooms 5.11.6 이전 버전

Source: Objective-See의 Patrick Wardle이 보고함

ZSB-22017 08/09/2022 macOS용 Zoom Client for Meetings의 로컬 권한 에스컬레이션 Critical CVE-2022-28751

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: macOS용 Zoom Client for Meetings(표준 및 IT 관리자용) 5.11.3 이전 버전에서 업데이트 프로세스 중 패키지 서명 유효성 검사 취약점이 발견되었습니다. 권한이 낮은 로컬 사용자는 이 취약점을 악용하여 권한을 루트로 에스컬레이션할 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • macOS용 Zoom Client for Meetings 5.11.3 이전 버전(표준 및 IT 관리자용)

Source: Objective-See의 Patrick Wardle이 보고함

ZSB-22014 08/09/2022 Zoom 온-프레미스 배포: 부적절한 액세스 컨트롤 Critical CVE-2022-28753
CVE-2022-28754

Severity: Critical

CVSS Score: 7.1

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N

Description: Zoom 온-프레미스 미팅 커넥터 MMR 4.8.129.20220714 이전 버전에서 부적절한 액세스 컨트롤 취약점이 발견되었습니다. 따라서 악의적 행위자는 다른 참가자에게 표시되지 않고 참가 권한이 있는 미팅에 참여할 수 있고, 대기실에서 미팅에 참여할 수 있으며, 호스트가 되어 다른 미팅을 방해할 수 있습니다.

Zoom 온-프레미스 배포의 경우 IT 관리자는 https://support.zoom.us/hc/en-us/articles/360043960031에 따라 Zoom 소프트웨어를 최신 상태로 유지할 수 있습니다.

Affected Products:

  • Zoom 온-프레미스 미팅 커넥터 MMR 4.8.129.20220714 이전 버전

Source: Zoom 공격 보안 팀에서 보고함

ZSB-22016 08/09/2022 Zoom 클라이언트의 잘못된 URL 구문 분석 [Updated 2022-10-24] Critical CVE-2022-28755

Severity: Critical

CVSS Score: 9.6

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Description: Zoom Client for Meetings(Android, iOS, Linux, macOS, Windows용) 5.11.0 이전 버전에서 URL 구문 분석 취약점이 발견되었습니다. 악성 Zoom 미팅 URL이 공개된 경우 악성 링크는 사용자가 임의의 네트워크 주소에 연결하도록 유도하여 임의의 경로에서 실행 파일을 실행하여 원격 코드 실행 가능성을 비롯한 추가 공격을 유발할 수 있습니다.

*변경 사항 - 2022-10-24 - "영향을 받는 제품" 섹션에 Zoom Rooms를 추가했습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Zoom Client for Meetings(Android, iOS, Linux, macOS 및 Windows용) 5.11.0 이전 버전
  • Zoom VDI Windows용 미팅 클라이언트 5.10.7 이전 버전
  • 회의실용 Zoom Rooms 5.11.0 이전 버전(Android, iOS, Linux, macOS 및 Windows용)

Source: Zoom 보안 팀에서 보고함

ZSB-22013 08/09/2022 Zoom Rooms for Windows Client의 로컬 권한 에스컬레이션 Critical CVE-2022-28752

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Windows용 회의실용 Zoom Rooms 5.11.0 이전 버전에서 로컬 권한 에스컬레이션 취약점이 발견되었습니다. 권한이 낮은 로컬 악의적 사용자는 이 취약점을 악용하여 시스템 사용자에게 권한을 에스컬레이션할 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Windows용 회의실용 Zoom Rooms 5.11.0 이전 버전

Source: sim0nsecurity에서 보고함

ZSB-22012 08/09/2022 Zoom 온-프레미스 배포: 미팅 커넥터의 스택 버퍼 오버플로우 Critical CVE-2022-28750

Severity: Critical

CVSS Score: 7.5

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Description: Zoom 온-프레미스 미팅 커넥터 ZC(영역 컨트롤러) 4.8.20220419.112 이전 버전은 STUN 오류 코드를 제대로 구문 분석하지 못하여 메모리 손상을 일으키고 악의적인 행위자가 애플리케이션을 중단시킬 수 있습니다. 4.8.12.20211115 이전 버전에서는 이 취약점을 악용하여 임의 코드를 실행할 수도 있습니다.

Zoom 온-프레미스 배포의 경우 IT 관리자는 https://support.zoom.us/hc/en-us/articles/360043960031의 지침에 따라 Zoom 소프트웨어를 최신 상태로 유지할 수 있습니다.

Affected Products:

  • Zoom 온-프레미스 미팅 커넥터 ZC(영역 컨트롤러) 4.8.20220419.112 이전 버전

Source: Zoom 공격 보안 팀에서 보고함

ZSB-22011 06/14/2022 미팅 참여 중 권한 확인 불충분 Critical CVE-2022-28749

Severity: Critical

CVSS Score: 6.5

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Description: Zoom 버전 4.8.113.20220526 이전의 온프레미스 미팅 커넥터 MMR이 Zoom 모임 참석자의 권한을 올바르게 확인하지 못합니다. 그 결과로, Zoom 대기실에 있는 위협 행위자가 호스트의 동의 없이 미팅에 참여할 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • 온프레미스 미팅 커넥터 4.8.113.20220526 이전 버전

Source: Zoom 공격 보안 팀에서 보고함

ZSB- 22010 06/14/2022 Zoom 및 Zoom Rooms 클라이언트를 위한 Zoom Opener 설치 프로그램의 DLL 인젝션 Critical CVE-2022-22788

Severity: Critical

CVSS Score: 7.1

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

Description: Zoom Meeting 클라이언트가 설치되지 않은 상태에서 사용자가 미팅에 참여하려고 시도하는 경우, 미팅 시작 페이지에서 Zoom Opener 설치 프로그램이 다운로드됩니다. Zoom Client for Meetings를 위한 Zoom Opener 설치 프로그램 5.10.3 이전 버전 및 Windows용 회의실을 위한 Zoom Rooms 5.10.3 이전 버전은 DLL 인젝션 공격에 취약합니다. 이러한 취약점은 피해자의 호스트에서 임의의 코드를 실행하는 데 사용될 수 있습니다.

사용자는 Zoom Opener 설치 프로그램의 오래된 버전을 제거하고 '미팅 시작' 페이지의 '지금 다운로드' 버튼을 통해 Zoom Opener 설치 프로그램의 최신 버전을 다운로드하여 보안을 유지할 수 있습니다. 사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트와 함께 최신 Zoom 소프트웨어를 다운로드하여 보안을 유지할 수 있습니다.

Affected Products:

  • Windows용 Zoom Client for Meetings 5.10.3 이전 버전
  • Windows용 회의실을 위한 Zoom Rooms 5.10.3 이전의 모든 버전

Source: James Tsz Ko Yeung 님이 보고함

ZSB-22009 05/17/2022 Zoom Client for Meetings에서 서버 전환 중의 호스트 이름 유효성 검사가 충분하지 않음 Critical CVE-2022-22787

Severity: Critical

CVSS Score: 5.9

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Description: Zoom Client for Meetings(Android, iOS, Linux, macOS 및 Windows용) 5.10.0 이전 버전은 서버 전환 요청 중에 호스트 이름 유효성을 올바르게 검사하지 못하는 문제가 있습니다. 이 문제는 수상함을 느끼지 못한 사용자가 Zoom 서비스를 사용하려고 할 때 사용자의 클라이언트가 악성 서버에 연결되도록 속이는 정교한 공격에 악용될 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Zoom Client for Meetings(Android, iOS, Linux, macOS 및 Windows용) 5.10.0 이전 버전

Source: Google Project Zero의 Ivan Fratric 님이 보고함

ZSB-22008 05/17/2022 Windows용 Zoom Client for Meetings에서 업데이트 패키지 다운그레이드 Critical CVE-2022-22786

Severity: Critical

CVSS Score: 7.5

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Description: Windows용 Zoom Client for Meetings 5.10.0 이전 버전과 Windows용 회의실용 Zoom Rooms 5.10.0 이전 버전은 업데이트 프로세스 중에 설치 버전을 올바르게 확인하지 못하는 문제가 있습니다. 이 문제는 사용자가 Zoom 클라이언트를 덜 안전한 버전으로 다운그레이드하도록 속이는 정교한 공격에 악용될 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Windows용 Zoom Client for Meetings 5.10.0 이전의 모든 버전
  • Windows용 회의실용 Zoom Rooms 5.10.0 이전의 모든 버전

Source: Google Project Zero의 Ivan Fratric 님이 보고함

ZSB-22007 05/17/2022 Zoom Client for Meetings의 잘못 제한된 세션 쿠키 Critical CVE-2022-22785

Severity: Critical

CVSS Score: 5.9

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Description: Zoom Client for Meetings(Android, iOS, Linux, macOS 및 Windows용) 5.10.0 이전 버전은 클라이언트 세션 쿠키를 Zoom 도메인으로 올바르게 제한하지 못하는 문제가 있습니다. 이 문제는 사용자의 Zoom 범위 세션 쿠키를 Zoom 외의 도메인으로 보내는 정교한 공격에 악용될 수 있습니다. 잠재적으로 Zoom 사용자의 스푸핑을 가능하게 만들 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Zoom Client for Meetings(Android, iOS, Linux, macOS 및 Windows용) 5.10.0 이전 버전

Source: Google Project Zero의 Ivan Fratric 님이 보고함

ZSB- 22006 05/17/2022 Zoom Client for Meetings의 잘못된 XML 구문 분석 Critical CVE-2022-22784

Severity: Critical

CVSS Score: 8.1

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Description: Zoom Client for Meetings(Android, iOS, Linux, macOS 및 Windows용) 5.10.0 이전 버전은 XMPP 메시지의 SML 스탠자를 올바르게 구문 분석하지 못하는 문제가 있습니다. 이 문제는 악의적인 사용자가 현재 XMPP 메시지 컨텍스트에서 벗어나서 새 메시지 컨텍스트를 만들어, 수신 사용자의 클라이언트가 다양한 작업을 수행하도록 조작할 수 있습니다. 이 문제는 서버에서 XMPP 메시지를 위조하는 정교한 공격에 사용될 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Zoom Client for Meetings(Android, iOS, Linux, macOS 및 Windows용) 5.10.0 이전 버전

Source: Google Project Zero의 Ivan Fratric 님이 보고함

ZSB- 22005 04/27/2022 Zoom 온-프레미스 미팅 서비스에서 프로세스 메모리 노출 Critical CVE-2022-22783

Severity: Critical

CVSS Score: 8.3

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/CR:H

Description: Zoom 온-프레미스 미팅 커넥터 컨트롤러 버전 4.8.102.20220310 및 온-프레미스 미팅 커넥터 MMR 버전 4.8.102.20220310의 취약점이 수동 공격자가 관찰할 수 있는 연결된 클라이언트에 프로세스 메모리 조각을 노출합니다.

사용자는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Zoom 온-프레미스 미팅 커넥터 컨트롤러 버전 4.8.102.20220310
  • Zoom 온-프레미스 미팅 커넥터 MMR 버전 4.8.102.20220310

Source: Zoom 공격 보안 팀

ZSB-22004 04/27/2022 Windows Zoom 클라이언트의 로컬 권한 에스컬레이션 Critical CVE-2022-22782

Severity: Critical

CVSS Score: 7.9

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

Description: 5.9.7 버전 이전의 Windows용 Zoom Client for Meetings, 5.10.0 버전 이전의 Windows용 회의실용 Zoom Rooms, 5.10.3 버전 이전의 Windows용 Microsoft Outlook용 Zoom 플러그인, 5.9.6 버전 이전의 Zoom VDI Windows 미팅 Client는 설치 프로그램 복구 작업 중 로컬 권한 에스컬레이션 문제에 취약했습니다. 악의적 행위자는 잠재적으로 이를 활용하여 시스템 수준 파일 또는 폴더를 삭제해 사용자의 호스트 머신에서 무결성 또는 가용성 문제를 일으킬 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Source: 제로 데이 이니셔티브가 보고함

ZSB-22003 04/27/2022 macOS용 Zoom Client for Meetings에서 업데이트 패키지 다운그레이드 Critical CVE-2022-22781

Severity: Critical

CVSS Score: 7.5

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Description: 5.9.6 버전 이전의 macOS용 Zoom Client for Meetings(표준 및 IT 관리자용)는 업데이트 과정에서 패키지 버전을 제대로 확인하지 못했습니다. 이로 인해 악의적 행위자가 의심하지 않는 사용자의 현재 설치된 버전을 덜 안전한 버전으로 업데이트할 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • 모든 5.9.6 버전 이전의 macOS용 Zoom Client for Meetings(표준 및 IT 관리자용)

Source: Objective-See의 Patrick Wardle이 보고함

ZSB-22002 02/08/2022 Zip Bombing에 취약한 Zoom Team Chat Critical CVE-2022-22780

Severity: Critical

CVSS Score: 4.7

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L

Description: 5.8.6 버전 이전의 Android, 5.9.0 버전 이전의 iOS, 5.8.6 버전 이전의 Linux, 5.7.3 버전 이전의 macOS 및 5.6.3 버전 이전의 Windows용 제품 버전에서 Zoom Client for Meetings 채팅 기능이 Zip Bombing 공격에 취약했습니다. 이로 인해 시스템 리소스가 고갈되어 클라이언트 호스트에서 가용성 문제가 발생할 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • 모든 5.8.6 버전 이전의 Android용 Zoom Client for Meetings
  • 모든 5.9.0 버전 이전의 iOS용 Zoom Client for Meetings
  • 모든 5.8.6 버전 이전의 Linux용 Zoom Client for Meetings
  • 모든 5.7.3 버전 이전의 macOS용 Zoom Client for Meetings
  • 모든 5.6.3 버전 이전의 Windows용 Zoom Client for Meetings

Source: Walmart Global Tech의 Johnny Yu가 보고함

ZSB-22001 02/08/2022 macOS 및 Windows용 Keybase 클라이언트에서 삭제된 메시지가 유지됨 Critical CVE-2022-22779

Severity: Critical

CVSS Score: 3.7

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Description: macOS 및 5.9.0 버전 이전의 Windows용 Keybase 클라이언트가 사용자가 시작한 삭제된 메시지를 제대로 제거할 수 없습니다. 이는 발신자가 메시지를 삭제하기 전에 사용자가 비채팅 기능으로 전환하고 호스트를 슬립 상태로 두는 경우 발생할 수 있습니다. 이로 인해 사용자의 파일 시스템에서 삭제되어야 했을 민감한 정보가 공개될 수 있습니다.

사용자는 https://keybase.io/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Keybase 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • 모든 macOS 및 5.9.0 버전 이전의 Windows용 Keybase 클라이언트

Source: Olivia O'Hara가 보고함

ZSB-21022 12/14/2021 Windows용 Keybase 클라이언트에서 임의 명령 실행 Critical CVE-2021-34426

Severity: Critical

CVSS Score: 5.3

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

Description: Windows용 Keybase 클라이언트 5.6.0 이전 버전에서 사용자가 명령줄에서 "keybase git lfs-config" 명령을 실행할 경우 취약성이 발견되었습니다. 5.6.0 이전 버전에서 사용자의 Git 리포지토리에 대한 쓰기 권한을 가지고 있는 악의적인 행위자가 이 취약성을 이용하여 잠재적으로 사용자의 로컬 시스템에서 임의의 Windows 명령을 실행할 수 있습니다.

사용자는 https://keybase.io/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Keybase 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Windows용 Keybase 클라이언트 5.6.0 이전의 모든 버전

Source: RyotaK가 보고함

ZSB-21021 12/14/2021 Zoom Client for Meetings 채팅에서의 서버 측 요청 위조 Critical CVE-2021-34425

Severity: Critical

CVSS Score: 4.7

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N

Description: Zoom Client for Meetings 5.7.3 이전 버전(Android, iOS, Linux, macOS 및 Windows용)에서 채팅 내 "링크 미리보기" 기능에 서버 측 요청 위조 취약성이 발견되었습니다. 5.7.3 이전 버전에서 사용자가 채팅의 "링크 미리보기" 기능을 활성화하도록 설정한 경우 악의적인 행위자가 자신은 직접 액세스할 수 없는 URL에 사용자가 임의의 HTTP GET 요청을 보내도록 사용자를 속일 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Zoom Client for Meetings 5.7.3 이전의 모든 버전(Android, iOS, Linux, macOS 및 Windows용)

Source: Walmart Global Tech의 Johnny Yu가 보고함

ZSB-21020 11/24/2021 Zoom 클라이언트 및 기타 제품에서 프로세스 메모리 노출 Critical CVE-2021-34424

Severity: Critical

CVSS Score: 5.3

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Description: 이 게시판의 "영향을 받는 제품" 섹션에 나열되어 있는 제품에서 잠재적으로 프로세스 메모리 상태가 노출될 수 있는 취약성이 발견되었습니다. 이 문제로 인해 제품 메모리 중 임의의 영역이 잠재적으로 노출될 수 있습니다.

Zoom은 아래 섹션에 나열되어 있는 제품의 최신 릴리스에서 이러한 문제를 해결했습니다. 사용자는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Source: Google Project Zero의 Natalie Silvanovich가 보고함

ZSB-21019 11/24/2021 Zoom 클라이언 및 기타 제품에서의 버퍼 오버플로 Critical CVE-2021-34423

Severity: Critical

CVSS Score: 7.3

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Description: 이 게시판의 "영향을 받는 제품" 섹션에 나열되어 있는 제품에서 버퍼 오버플로 취약성이 발견되었습니다. 이로 인해 악의적인 행위자가 서비스 또는 애플리케이션 작동을 중단시키거나 이러한 취약성을 이용하여 임의의 코드를 실행할 수 있습니다.

Zoom은 아래 섹션에 나열되어 있는 제품의 최신 릴리스에서 이러한 문제를 해결했습니다. 사용자는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Source: 출처: Google Project Zero의 Natalie Silvanovich가 보고함

ZSB-21018 11/09/2021 Windows용 Keybase 클라이언트에서 파일 이름의 경로 통과 Critical CVE-2021-34422

Severity: Critical

CVSS Score: 7.2

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

Description: 팀 폴더에 업로드된 파일 이름을 확인할 때 Windows용 Keybase 클라이언트 5.7.0 이전 버전에서 경로 통과 취약성이 발견되었습니다. 악의적인 사용자는 어떤 사용자가 의도하지 않은 애플리케이션을 호스트 컴퓨터에서 실행할 수 있도록 특별히 만들어진 이름의 파일을 공유 폴더에 업로드할 수 있습니다. 악의적인 사용자가 이 문제를 악용하여 Keybase 클라이언트의 공용 폴더 공유 기능을 사용할 경우 원격 코드 실행으로 이어질 수 있습니다.

Keybase는 5.7.0 Windows용 Keybase 클라이언트 릴리스에서 이 문제를 해결했습니다. 사용자는 https://keybase.io/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Keybase 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Windows용 Keybase 클라이언트 5.7.0 이전 버전

Source: m4t35z가 보고함

ZSB-21017 11/09/2021 Android 및 iOS용 Keybase 클라이언트에서 삭제된 메시지가 유지됨 Critical CVE-2021-34421

Severity: Critical

CVSS Score: 3.7

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Description: Android 및 iOS용 Keybase 클라이언트 5.8.0 이전 버전에서 발신 사용자가 메시지를 삭제하는 동안 수신 사용자가 백그라운드에 채팅 세션을 배치한 경우 사용자가 삭제하기 시작한 메시지를 제대로 제거할 수 없습니다. 이로 인해 고객 기기에서 삭제되어야 하는 민감한 정보가 공개될 수 있습니다.

Keybase는 5.8.0 Android 및 iOS용 Keybase 클라이언트 릴리스에서 이 문제를 해결했습니다. 사용자는 https://keybase.io/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Keybase 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Android용 Keybase 클라이언트 5.8.0 이전의 모든 버전
  • 모든 iOS용 Keybase 클라이언트 5.8.0 이전 버전

Source: Olivia O'Hara, John Jackson, Jackson Henry, Robert Willis가 보고함

ZSB-21016 11/09/2021 Zoom Windows 설치 실행 서명 건너뛰기 Critical CVE-2021-34420

Severity: Critical

CVSS Score: 4.7

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N

Description: Windows용 Zoom Client for Meetings 5.5.4 이전 버전의 설치 프로그램에서 확장자가 .msi, .ps1, .bat인 파일의 서명을 제대로 확인할 수 없습니다. 이로 인해 악의적인 행위자가 고객의 컴퓨터에 악성 소프트웨어를 설치할 수 있습니다.

Zoom은 5.5.4 Windows용 Zoom Client for Meetings 릴리스에서 이 문제를 해결했습니다. 사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Windows용 Zoom Client for Meetings 5.5.4 이전의 모든 버전

Source: ManoMano의 Laurent Delosieres가 보고함

ZSB-21015 11/09/2021 Zoom Linux 클라이언트에 HTML 삽입 Critical CVE-2021-34419

Severity: Critical

CVSS Score: 3.7

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

Description: Ubuntu Linux용 Zoom Client for Meetings 5.1.0 이전 버전에서 미팅 중 화면 공유 중인 사용자에게 원격 제어 요청을 보낼 경우 HTML이 삽입되는 결함이 발견되었습니다. 이로 인해 미팅 참가자가 소셜 엔지니어링 공격의 대상이 될 수 있습니다.

Zoom은 5.1.0 Ubuntu Linux용 Zoom Client for Meetings 릴리스에서 이 문제를 해결했습니다. 사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Ubuntu Linux용 Zoom Client for Meetings 5.1.0 이전 버전

Source: hackdefense의 Danny de Weille와 Rick Verdoes가 보고함

ZSB-21014 11/09/2021 온-프레미스 웹 콘솔에서 사전 인증 Null 포인터 충돌 Critical CVE-2021-34418

Severity: Critical

CVSS Score: 4.0

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Description: 이 게시판의 "영향을 받는 제품" 섹션에 나열되어 있는 제품에 대한 웹 콘솔 로그인 서비스에서 인증을 진행하는 동안 NULL 바이트가 전송되었는지 여부를 확인할 수 없습니다. 이로 인해 로그인 서비스가 충돌할 수 있습니다.

Affected Products:

  • Zoom 온-프레미스 미팅 커넥터 컨트롤러 4.6.239.20200613 이전 버전
  • Zoom 온-프레미스 미팅 커넥터 MMR 4.6.239.20200613 이전 버전
  • Zoom 온-프레미스 기록 커넥터 3.8.42.20200905 이전 버전
  • Zoom 온-프레미스 VRC 4.4.6344.20200612 이전 버전
  • Zoom 온-프레미스 VRC 부하 분산 장치 2.5.5492.20200616 이전 버전

Source: Jeremy Brown이 보고함

ZSB-21013 11/09/2021 MMR의 웹 콘솔을 통해 루트 권한으로 인증된 원격 명령 실행 Critical CVE-2021-34417

Severity: Critical

CVSS Score: 7.9

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N

Description: 이 게시판의 "영향을 받는 제품" 섹션에 나열되어 있는 제품에 대한 웹 포털의 네트워크 프록시 페이지에서 네트워크 프록시 암호 설정을 위한 요청의 입력 내용을 확인할 수 없습니다. 이로 인해 웹 포털 관리자가 원격 명령을 삽입할 수 있습니다.

Affected Products:

  • Zoom 온-프레미스 미팅 커넥터 컨트롤러 4.6.365.20210703 이전 버전
  • Zoom 온-프레미스 미팅 커넥터 MMR 4.6.365.20210703 이전 버전
  • Zoom 온-프레미스 기록 커넥터 3.8.45.20210703 이전 버전
  • Zoom 온-프레미스 VRC 4.4.6868.20210703 이전 버전
  • Zoom 온-프레미스 VRC 부하 분산 장치 2.5.5496.20210703 이전 버전

Source: Jeremy Brown이 보고함

ZSB-21012 09/30/2021 Web Portal을 통해 온-프레미스 이미지에 원격 코드 실행 Critical CVE-2021-34416

Severity: Critical

CVSS Score: 5.5

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N

Description: Zoom 온-프레미스 미팅 커넥터 4.6.360.20210325 이전 버전, Zoom 온-프레미스 미팅 커넥터 MMR 4.6.360.20210325 이전 버전, Zoom 온-프레미스 기록 커넥터 3.8.44.20210326 이전 버전, Zoom 온-프레미스 VRC 4.4.6752.20210326 이전 버전, Zoom 온-프레미스 VRC 부하 분산 장치 2.5.5495.20210326 이전 버전을 위한 네트워크 주소 관리자 설정 Web Portal에서 네트워크 구성 업데이트를 위한 요청의 입력 내용을 확인할 수 없습니다. 이로 인해 웹 포털 관리자가 온-프레미스 이미지에 원격 명령을 삽입할 수 있습니다.

Affected Products:

  • Zoom 온-프레미스 미팅 커넥터 4.6.360.20210325 이전 버전
  • Zoom 온-프레미스 미팅 커넥터 MMR 4.6.360.20210325 이전 버전
  • Zoom 온-프레미스 기록 커넥터 3.8.44.20210326 이전 버전
  • Zoom 온-프레미스 VRC 4.4.6752.20210326 이전 버전
  • Zoom 온-프레미스 VRC 부하 분산 장치 2.5.5495.20210326 이전 버전

Source: Positive Technologies의 Egor Dimitrenko가 보고함

ZSB-21011 09/30/2021 PDU를 사용한 ZC 충돌로 인한 다수의 할당 발생 Critical CVE-2021-34415

Severity: Critical

CVSS Score: 7.5

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Description: Zoom 온-프레미스 미팅 커넥터 컨트롤러 4.6.358.20210205 이전 버전에 있는 영역 컨트롤러 서비스에서 들어오는 네트워크 패킷으로 전송된 cnt 필드를 확인할 수 없습니다. 이로 인해 리소스가 소모되고 시스템 충돌이 발생합니다.

Affected Products:

  • Zoom 온-프레미스 미팅 커넥터 컨트롤러 4.6.358.20210205 이전 버전

Source: Positive Technologies의 Nikita Abramov가 보고함

ZSB-21010 09/30/2021 Web Portal네트워크 프록시 구성을 통해 미팅 커넥터 서버에 대한 원격 코드 실행 Critical CVE-2021-34414

Severity: Critical

CVSS Score: 7.2

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Description: Zoom 온-프레미스 미팅 커넥터 컨트롤러 4.6.348.20201217 이전 버전, Zoom 온-프레미스 미팅 커넥터 MMR 4.6.348.20201217 이전 버전, Zoom 온-프레미스 기록 커넥터 3.8.42.20200905 이전 버전, Zoom 온-프레미스 가상 룸 커넥터 4.4.6620.20201110 이전 버전, Zoom 온-프레미스 가상 룸 커넥터 부하 분산 장치 2.5.5495.20210326 이전 버전을 위한 웹 포털의 네트워크 프록시 페이지에서 네트워크 프록시 구성 업데이트를 위한 요청의 입력 내용을 확인할 수 없습니다. 이로 인해 웹 포털 관리자가 온-프레미스 이미지에 원격 명령을 삽입할 수 있습니다.

Affected Products:

  • Zoom 온-프레미스 미팅 커넥터 컨트롤러 4.6.348.20201217 이전 버전
  • Zoom 온-프레미스 미팅 커넥터 MMR 4.6.348.20201217 이전 버전
  • Zoom 온-프레미스 기록 커넥터 3.8.42.20200905 이전 버전
  • Zoom 온-프레미스 VRC 4.4.6620.20201110 이전 버전
  • Zoom 온-프레미스 VRC 부하 분산 장치 2.5.5495.20210326 이전 버전

Source: Positive Technologies의 Egor Dimitrenko가 보고함

ZSB-21009 09/30/2021 Zoom macOS Outlook 플러그인 설치 프로그램 로컬 권한 에스컬레이션 Critical CVE-2021-34413

Severity: Critical

CVSS Score: 2.8

CVSS Vector String: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N

Description: macOS용 Microsoft Outlook용 Zoom 플러그인 5.3.52553.0918 이전의 모든 버전에서 플러그인 설치 프로세스를 진행하는 동안 TOC/TOU(Time-of-check Time-of-use) 취약점이 발견되었습니다. 이로 인해 표준 사용자가 자신의 악성 애플리케이션을 플러그인 디렉터리에 써서 악성 애플리케이션을 권한이 있는 컨텍스트에서 실행할 수 있습니다.

Affected Products:

  • macOS용 Microsoft Outlook용 Zoom 플러그인 5.3.52553.0918 이전의 모든 버전

Source: Lockheed Martin Red Team이 보고함

ZSB-21008 09/30/2021 Zoom for Windows 설치 프로그램 로컬 권한 에스컬레이션 Critical CVE-2021-34412

Severity: Critical

CVSS Score: 4.4

CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Description: Windows용 Zoom Client for Meetings 5.4.0 이전의 모든 버전에서 설치 프로세스를 진행하는 동안 Internet Explorer를 시작할 수 있습니다. SCCM 등에 의해 높은 권한으로 설치 프로그램이 시작된 경우 로컬 권한 에스컬레이션이 발생할 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Windows용 Zoom Client for Meetings 5.4.0 이전 버전

Source: Lockheed Martin Red Team이 보고함

ZSB-21007 09/30/2021 Zoom Rooms 설치 프로그램 로컬 권한 에스컬레이션 Critical CVE-2021-34411

Severity: Critical

CVSS Score: 4.4

CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Description: Windows용 회의실용 Zoom Rooms 5.3.0 이전 버전의 설치 프로세스를 진행하는 동안 높은 권한으로 Internet Explorer를 시작할 수 있습니다. SCCM 등에 의해 높은 권한으로 설치 프로그램이 시작된 경우 로컬 권한 에스컬레이션이 발생할 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Windows용 회의실용 Zoom Rooms 5.3.0 이전 버전
  • Mac Client 4.1.34475.1105 이전 버전
  • 회의실용 Zoom Rooms 5.1.0 이전 버전

Source: Lockheed Martin Red Team이 보고함

ZSB-21004 09/30/2021 연결을 사용하여 Zoom MSI 설치 프로그램 쓰기 권한 승격 Critical CVE-2021-34408

Severity: Critical

CVSS Score: 7.0

CVSS Vector String: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Description: Windows용 Zoom Client for Meetings 5.3.2 이전 버전을 설치하는 동안 생성된 사용자 쓰기 가능 디렉터리를 연결을 사용하여 다른 위치로 리디렉션할 수 있습니다. 이로 이해 제한된 사용자가 달리 수정할 수 없는 파일을 공격자가 덮어쓸 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Windows용 Zoom Client for Meetings 5.3.2 이전 버전

Source: Lockheed Martin Red Team이 보고함

ZSB-21003 09/30/2021 Windows Zoom 설치 프로그램 디지털 서명 건너뛰기 Critical CVE-2021-33907

Severity: Critical

CVSS Score: 7.0

CVSS Vector String: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H/MPR:N/MUI:R/MS:U/MC:H/MI:H/MA:H

Description: Windows용 Zoom Client for Meetings 5.3.0 이전의 모든 버전에서 클라이언트 업데이트를 수행할 때 .msi 파일에 서명하기 위한 인증서 정보를 제대로 확인할 수 없습니다. 이로 인해 권한이 승격된 컨텍스트에서 원격 코드가 실행될 수 있습니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Windows용 Zoom Client for Meetings 5.3.0 이전의 모든 버전

Source: Lockheed Martin Red Team이 보고함

ZSB-21002 08/13/2021 확장 가능한 메시징 및 현재 상태 프로토콜 메시지에서 선택 해제된 정적 버퍼 쓰기의 힙 오버플로 Critical CVE-2021-30480

Severity: Critical

CVSS Score: 8.1

CVSS Vector String: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H

Description: Zoom Client for Meetings 5.6.3 이전 버전의 모든 데스크톱에 힙 기반 버퍼 오버플로가 존재합니다. 이러한 사실은 2021 Pwn20wn Vancouver의 일부 내용으로 Zoom에 보고되었습니다. Pwn20wn 동안 시연된 이 공격 체인은 2021년 4월 9일에 Zoom의 인프라에서 서버 측 변경 사항으로 완화되었습니다.

Pwn20wn 동안 보고된 두 가지 다른 문제 즉, Zoom Marketplace 앱 URL에 액세스하기 위해 확장 가능한 메시징 및 현재 상태 프로토콜 메시지를 보낼 때의 부적절한 URL 확인 문제 및 GIPHY 이미지를 표시할 때의 잘못된 URL 확인 문제와 결합될 경우, 악의적인 사용자가 대상 컴퓨터에서 원격 코드를 실행할 수 있습니다.
이 공격이 성공하려면 대상은 악의적인 사용자로부터의 연결 요청을 이전에 수락했거나 악의적인 사용자와 함께 하는 다중 사용자 채팅에 있어야 합니다. Pwn20wn 동안 시연된 이 공격 체인은 대상에게 매우 잘 보일 수 있어 여러 개의 클라이언트 알림이 발생합니다.

사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Zoom Client for Meetings 5.6.3 이전의 모든 데스크톱 버전

Source: 제로데이 이니셔티브를 통해 Computest의 Daan Keuper와 Thijs Alkemade가 보고함

ZSB-21001 03/26/2021 애플리케이션 창 화면 공유 기능 Critical CVE-2021-28133

Severity: Critical

CVSS Score: 5.7

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

Description: 개별 애플리케이션 창을 공유할 때 Zoom Windows 및 Linux Client의 화면 공유 기능에 영향을 미치는 취약점으로 인해 "공유자"가 다른 창을 최소화하거나 최대화하거나 닫을 경우 화면을 공유 중인 사용자가 명시적으로 공유하지 않은 애플리케이션의 화면 콘텐츠가 다른 미팅 참가자에게 잠시 보이지 않을 수 있습니다.

Zoom은 Windows 사용자에게 이러한 문제가 발생할 가능성을 낮춰주는 몇 가지 새로운 보안 완화책을 Zoom Windows Client 5.6 버전에 도입했습니다. 또한 영향을 받는 모든 플랫폼에서 이 문제를 해결하기 위해 추가 조치를 지속적으로 모색하고 있습니다.

Zoom은 2021년 3월 1일에 Zoom Linux Client 5.5.4 버전에서 Ubuntu 사용자에게 발생하던 문제도 해결했습니다. 사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드할 수 있습니다.

Affected Products:

  • 모든 Windows Zoom 클라이언트 버전
  • Ubuntu의 Linux Zoom 클라이언트 5.5.4 이전 버전
  • 기타 지원되는 배포의 모든 Linux Client 버전

Source: Michael Stramez 및 Matthias Deeg가 발견했습니다.

ZSB-20002 08/14/2020 Zoom Sharing Service의 Windows DLL Critical CVE-2020-9767

Severity: Critical

CVSS Score: 7.8

CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Description: Zoom Sharing Service에서 로드되는 동적 연결 라이브러리("DLL")와 관련된 취약점으로 인해 로컬 Windows 사용자가 NT AUTHORITY/SYSTEM 사용자로 권한을 에스컬레이션할 수 있습니다.

이 취약점은 서명된 실행 파일 로드 시 동적으로 로드된 DLL의 서명 확인이 불충분하여 발생합니다. 공격자는 서명된 Zoom 실행 파일에 악성 DLL을 삽입하고 이를 사용해 승격된 권한으로 프로세스를 실행하여 이 취약점을 악용할 수 있습니다.

Zoom은 5.0.4 클라이언트 릴리스에서 이 문제를 해결했습니다. 사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Zoom Windows 설치 프로그램(ZoomInstallerFull.msi) 5.0.4 이전 버전

Source: Context Information Security의 Connor Scott

ZSB-20001 05/04/2020 Windows용 Zoom IT 설치 프로그램 Critical CVE-2020-11443

Severity: Critical

CVSS Score: 최저: 8.4

CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Description: 파일을 삭제할 때 Zoom Windows 설치 프로그램이 연결을 처리하는 방식에 취약점이 있어 로컬 Windows 사용자가 다른 방법으로는 삭제할 수 없었을 파일을 삭제할 수 있습니다.

이 취약점은 설치 프로그램이 표준 사용자가 쓸 수 있는 파일을 삭제하는 디렉터리에서 연결에 대한 확인이 불충분하여 발생합니다. 악의적인 로컬 사용자는 보호되는 시스템 파일 또는 사용자가 권한을 보유하고 있지 않은 다른 파일을 가리키는, 영향을 받는 디렉터리에서 연결을 만들어 이 취약점을 악용할 수 있습니다. 승격된 권한으로 Zoom Windows 설치 프로그램을 실행하면 관리형 배포 소프트웨어를 통해 실행되는 경우와 마찬가지로 해당 파일이 시스템에서 삭제됩니다.

Zoom은 4.6.10 클라이언트 릴리스에서 이 문제를 해결했습니다. 사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Zoom Windows 설치 프로그램(ZoomInstallerFull.msi) 4.6.10 이전 버전

Source: Lockheed Martin Red Team

ZSB-19003 07/12/2019 ZoomOpener 디먼 Critical CVE-2019-13567

Severity: Critical

CVSS Score: 최저: 7.5

CVSS Vector String: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Description: Zoom MacOS Client의 취약점으로 인해 공격자는 공격 대상자의 기기에 악성 소프트웨어를 다운로드할 수 있습니다.

이 취약점은 ZoomOpener 도우미 애플리케이션에 다운로드된 소프트웨어에 대한 입력 유효성 검사 및 유효성 검사가 부적절하여 발생합니다. 공격자는 이 취약점을 악용해 공격 대상자의 기기가 공격자를 대신해 파일을 다운로드하도록 유도할 수 있습니다. 이 악용은 공격 대상자가 이전에 Zoom 클라이언트를 설치 제거한 경우에만 성공할 수 있습니다.

Zoom은 4.4.52595.0425 클라이언트 릴리스에서 이 문제를 해결했습니다. 사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Zoom macOS Client 4.4.52595.0425 이전 버전 및 4.1.27507.0627 이후 버전

Source: 알 수 없음

ZSB-19002 07/09/2019 기본 비디오 설정 Critical CVE-2019-13450

Severity: Critical

CVSS Score: 최저: 3.1

CVSS Vector String: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

Description: macOS Zoom 및 RingCentral Client의 취약점으로 인해 인증되지 않은 원격 공격자가 사용자가 활성 상태인 비디오 카메라로 비디오 통화에 강제로 참여하게 할 수 있습니다.

이 취약점은 포트 19421에서 실행되는 로컬 Zoom Web 서버와 통신할 수 있는 시스템을 확인하는 권한 부여 제어가 불충분하여 발생합니다. 공격자는 공격자가 설정한 미팅에 Zoom 클라이언트가 자동으로 참여하게 만드는 악성 웹 사이트를 만들어 이 취약점을 악용할 수 있습니다.

Zoom은 2019년 7월 14일에 게시된 Client 4.4.5 버전에서 미팅에 참여하기 전에 사용자에게 표시되는 새로운 비디오 미리 보기 대화 상자를 구현했습니다. 이 대화 상자에서 사용자는 비디오가 활성화되어 있는지 여부와 상관없이 미팅에 참여할 수 있으며, 비디오에 대해 원하는 기본 동작을 설정해야 합니다. Zoom은 고객에게 https://zoom.us/download에서 사용 가능한 최신 Zoom 클라이언트 릴리스를 설치할 것을 권고합니다.

Affected Products:

  • Zoom macOS Client 4.4.5 이전 버전
  • RingCentral MacOS Client 4.4.5 이전 버전

Source: Jonathan Leitschuh가 발견했습니다.

ZSB-19001 07/09/2019 서비스 거부 공격 - macOS Critical CVE-2019-13449

Severity: Critical

CVSS Score: 최저: 3.1

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Description: macOS Zoom 클라이언트의 취약점으로 인해 인증되지 않은 원격 공격자가 공격 대상자의 시스템에서 서비스 거부 조건을 트리거할 수 있습니다.

이 취약점은 포트 19421에서 실행되는 로컬 Zoom Web 서버와 통신할 수 있는 시스템을 확인하는 권한 부여 제어가 불충분하여 발생합니다. 공격자는 Zoom 클라이언트가 잘못된 미팅 ID로 미팅에 반복적으로 참여하려고 시도하게 만드는 악성 웹 사이트를 만들어 이 취약점을 악용할 수 있습니다. 무한 루프는 Zoom 클라이언트를 작동 불가 상태로 만들며 이것이 실행되는 시스템의 성능에 영향을 미칠 수 있습니다.

Zoom은 이 문제를 해결하기 위해 2019년 4월 28일에 macOS Client의 4.4.2-hotfix 버전을 릴리스했습니다. 사용자는 https://zoom.us/download에서 제공되는 모든 최신 보안 업데이트를 통해 최신 업데이트를 적용하거나 최신 Zoom 소프트웨어를 다운로드해 자신을 보호할 수 있습니다.

Affected Products:

  • Zoom macOS Client 4.4.5 이전 버전
  • RingCentral MacOS Client 4.4.5 이전 버전

Source: Jonathan Leitschuh가 발견했습니다.

No results found

향후 Zoom 보안 게시판에 대한 알림을 받으려면 개인 이메일 주소를 입력해 주세요. (참고: 이메일 별칭은 이러한 알림을 받지 않습니다.)