Trust Center Security, Privacy, Blogs Additional Resources

Veiligheidsbulletins

This page may be out of date while it is being translated, please refer to the official English site for the latest security bulletins.

Alle ernstniveaus
  • Alle ernstniveaus
  • Kritisch
  • Hoog
  • Gemiddeld
  • Laag
Alle CVE
  • Alle CVE
  • CVE-2024-24691
  • CVE-2024-24690
  • CVE-2024-24699
  • CVE-2024-24698
  • CVE-2024-24697
  • CVE-2024-24696
  • CVE-2024-24695
  • CVE-2023-49647
  • CVE-2023-49646
  • CVE-2023-43586
  • CVE-2023-43585
  • CVE-2023-43583
  • CVE-2023-43582
  • CVE-2023-43591
  • CVE-2023-43590
  • CVE-2023-43588
  • CVE-2023-39199
  • CVE-2023-39206
  • CVE-2023-39205
  • CVE-2023-39204
  • CVE-2023-39203
  • CVE-2023-39202
  • CVE-2023-39201
  • CVE-2023-39208
  • CVE-2023-39215
  • CVE-2023-39209
  • CVE-2023-39214
  • CVE-2023-39213
  • CVE-2023-39212
  • CVE-2023-39211
  • CVE-2023-39210
  • CVE-2023-39218
  • CVE-2023-39217
  • CVE-2023-39216
  • CVE-2023-36535
  • CVE-2023-36534
  • CVE-2023-36533
  • CVE-2023-36532
  • CVE-2023-36541
  • CVE-2023-36540
  • CVE-2023-36538
  • CVE-2023-36537
  • CVE-2022-36928
  • CVE-2022-36926
    CVE-2022-36927
  • CVE-2022-36925
  • CVE-2022-36924
  • CVE-2022-28768
  • CVE-2022-28766
  • CVE-2022-28764
  • CVE-2022-28763
  • CVE-2022-28762
  • CVE-2022-28761
  • CVE-2022-28760
  • CVE-2022-28758
    CVE-2022-28759
  • CVE-2022-28757
  • CVE-2022-28756
  • CVE-2022-28751
  • CVE-2022-28753
    CVE-2022-28754
  • CVE-2022-28755
  • CVE-2022-28750
  • CVE-2022-28749
  • CVE-2022-22788
  • CVE-2022-22787
  • CVE-2022-22786
  • CVE-2022-22785
  • CVE-2022-22784
  • CVE-2022-22783
  • CVE-2022-22782
  • CVE-2022-22781
  • CVE-2022-22780
  • CVE-2022-22779
  • CVE-2021-34426
  • CVE-2021-34425
  • CVE-2021-34424
  • CVE-2021-34423
  • CVE-2021-34422
  • CVE-2021-34421
  • CVE-2021-34420
  • CVE-2021-34419
  • CVE-2021-34418
  • CVE-2021-34417
  • CVE-2021-34416
  • CVE-2021-34415
  • CVE-2021-34414
  • CVE-2021-34413
  • CVE-2021-34412
  • CVE-2021-34411
  • CVE-2021-34408
  • CVE-2021-33907
  • CVE-2021-30480
  • CVE-2021-28133
  • CVE-2020-9767
  • CVE-2020-11443
  • CVE-2019-13567
  • CVE-2019-13450
  • CVE-2019-13449
Search

Veiligheidsbulletins

Zoom geeft individuele klanten geen begeleiding om met de gevolgen van kwetsbaarheden om te gaan naar aanleiding van een Zoom-veiligheidsbulletin en verstrekt individuele klanten geen extra details over kwetsbaarheden. We raden gebruikers aan om te updaten naar de nieuwste versie van hun Zoom-software, zodat ze beschikken over de meest recente oplossingen en beveiligingsverbeteringen.

ZSB Datum Titel Ernstniveau CVE (indien van toepassing)
ZSB-24008 02/13/2024 Zoom-desktopclient voor Windows, Zoom VDI-client voor Windows en Zoom Meeting SDK voor Windows - Onjuiste inputvalidatie Kritisch CVE-2024-24691

Ernstniveau: Kritisch

CVSS-score: 9.6

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Beschrijving: Als gevolg van een onjuiste inputvalidatie in de Zoom-desktopclient voor Windows, de Zoom VDI-client voor Windows en de Zoom Meeting SDK voor Windows kan een niet-geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door de meest recente updates toe te passen die beschikbaar zijn op https://zoom.us/nl/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.15.5
  • Zoom-desktopclient voor macOS, alleen versie 5.15.0
  • Zoom-desktopclient voor Linux, alleen versie 5.15.0
  • Zoom mobiele app voor iOS, alleen versie 5.15.0

Bron: Gemeld door Zoom Offensive Security.

ZSB-24007 02/13/2024 Zoom-clients - Onjuiste inputvalidatie Gemiddeld CVE-2024-24690

Ernstniveau: Gemiddeld

CVSS-score: 5.4

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

Beschrijving: Als gevolg van een onjuiste inputvalidatie in sommige Zoom-clients kan een geverifieerde gebruiker zorgen voor een denial-of-service via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door de meest recente updates toe te passen die beschikbaar zijn op https://zoom.us/nl/download.

Getroffen producten:

  • Zoom-client SDK voor Windows vóór versie 5.15.5
  • Zoom-client SDK voor iOS vóór versie 5.15.5
  • Zoom-client SDK voor Android vóór versie 5.15.5
  • Zoom-client SDK voor macOS vóór versie 5.15.5
  • Zoom-client SDK voor Linux vóór versie 5.15.5

Bron: Gemeld door Zoom Offensive Security.

ZSB-24006 02/13/2024 Zoom-clients - Bedrijfslogicafout Gemiddeld CVE-2024-24699

Ernstniveau: Gemiddeld

CVSS-score: 6.5

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Beschrijving: Als gevolg van een bedrijfslogicafout in chatten tijdens vergadering voor sommige Zoom-clients kan een geverifieerde gebruiker zorgen voor een openbaarmaking van informatie via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door de meest recente updates toe te passen die beschikbaar zijn op https://zoom.us/nl/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.15.2
  • Zoom VDI-client vóór versie 5.15.2
  • Zoom Rooms for Conference Room voor Windows (32-bit) vóór versie 5.12.6

Bron: Gemeld door Zoom Offensive Security.

ZSB-24005 02/13/2024 Zoom-clients - Onjuiste authenticatie Gemiddeld CVE-2024-24698

Ernstniveau: Gemiddeld

CVSS-score: 4.9

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

Beschrijving: Als gevolg van een onjuiste authenticatie in sommige Zoom-clients kan een gebruiker met bevoegdheden zorgen voor een openbaarmaking van informatie via lokale toegang.

Gebruikers kunnen zichzelf beschermen door de meest recente updates toe te passen die beschikbaar zijn op https://zoom.us/nl/download.

Getroffen producten:

  • Zoom Rooms voor Windows vóór versie 5.15.5
  • Zoom VDI Windows Meeting Clients vóór versie 5.12.6
  • Zoom Rooms for Conference Room (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.12.6

Bron: Gemeld door Zoom Offensive Security.

ZSB-24004 02/13/2024 Zoom-clients - Niet-vertrouwd zoekpad Hoog CVE-2024-24697

Ernstniveau: Hoog

CVSS-score: 7.2

CVSS-vectorstring: CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H

Beschrijving: Als gevolg van een niet-vertrouwd zoekpad in sommige Zoom 32-bits Windows-clients kan een geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via lokale toegang.

Gebruikers kunnen zichzelf beschermen door de meest recente updates toe te passen die beschikbaar zijn op https://zoom.us/nl/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.17.0
  • Zoom Rooms voor Windows vóór versie 5.15.5
  • Zoom VDI Windows Meeting-clients vóór versie 5.14.0

Bron: Gemeld door sim0nsecurity.

ZSB-24003 02/13/2024 Zoom-desktopclient voor Windows, Zoom VDI-client voor Windows en Zoom Meeting SDK voor Windows - Onjuiste inputvalidatie Gemiddeld CVE-2024-24696

Ernstniveau: Gemiddeld

CVSS-score: 6.8

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N

Beschrijving: Als gevolg van een onjuiste inputvalidatie bij chatten tijdens de vergadering voor de Zoom-desktopclient voor Windows, de Zoom VDI-client voor Windows en de Zoom Meeting SDK voor Windows kan een geverifieerde gebruiker zorgen voor een openbaarmaking van informatie via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door de meest recente updates toe te passen die beschikbaar zijn op https://zoom.us/nl/download.

Getroffen producten:

  • Zoom-client SDK voor Windows vóór versie 5.15.0
  • Zoom Rooms-client voor Windows vóór versie 5.14.0
  • Zoom VDI Windows Meeting-clients vóór versie 5.14.0

Bron: Gemeld door shmoul.

ZSB-24002 02/13/2024 Zoom-desktopclient voor Windows, Zoom VDI-client voor Windows en Zoom Meeting SDK voor Windows - Onjuiste inputvalidatie Gemiddeld CVE-2024-24695

Ernstniveau: Gemiddeld

CVSS-score: 6.8

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N

Beschrijving: Als gevolg van een onjuiste inputvalidatie in de Zoom-desktopclient voor Windows, de Zoom VDI-client voor Windows en de Zoom Meeting SDK voor Windows kan een geverifieerde gebruiker zorgen voor een openbaarmaking van informatie via netwerktoegang.


Gebruikers kunnen zichzelf beschermen door de meest recente updates toe te passen die beschikbaar zijn op https://zoom.us/nl/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.17.0
  • Zoom-desktopclient voor macOS vóór versie 5.14.10
  • Zoom-desktopclient voor Linux vóór versie 5.14.10

Bron: Gemeld door shmoul.

ZSB-24001 01/09/2024 Zoom-desktopclient voor Windows, Zoom VDI-client voor Windows en Zoom Meeting SDK voor Windows - Onjuiste toegangscontrole Kritisch CVE-2023-49647

Ernstniveau: Kritisch

CVSS-score: 8.8

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschrijving: Als gevolg van een onjuiste toegangscontrole in de Zoom-desktopclient voor Windows, de Zoom VDI-client voor Windows en Zoom SDK's voor Windows vóór versie 5.16.10 kan een geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via lokale toegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.16.10
  • Zoom-client SDK voor iOS vóór versie 5.14.10
  • Zoom-client SDK voor Android vóór versie 5.14.10
  • Zoom-client SDK voor macOS vóór versie 5.14.10

Bron: Gemeld door sim0nsecurity.

ZSB-23062 12/12/2023 Zoom-clients - Onjuiste authenticatie Kritisch CVE-2023-49646

Ernstniveau: Kritisch

CVSS-score: 5.4

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

Beschrijving: Als gevolg van een onjuiste authenticatie in sommige Zoom-clients vóór versie 5.16.5 kan een geverifieerde gebruiker zorgen voor een denial-of-service via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.16.5
  • Zoom VDI Windows Meeting Client vóór versie 5.10.7

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23059 12/12/2023 Zoom-desktopclient voor Windows, Zoom VDI-client voor Windows en Zoom Meeting SDK's voor Windows - Path traversal Kritisch CVE-2023-43586

Ernstniveau: Kritisch

CVSS-score: 7.3

CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N

Beschrijving: Als gevolg van path traversal in de Zoom-desktopclient voor Windows, de Zoom VDI-client voor Windows en de Zoom SDK's voor Windows kan een geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.16.5
  • Zoom-desktopclient voor macOS vóór versie 5.14.10
  • Zoom-desktopclient voor Linux vóór versie 5.14.10
  • Zoom VDI-host en -invoegtoepassing vóór versie 5.14.10

Bron: Gemeld door shmoul.

ZSB-23058 12/12/2023 Zoom mobiele app voor iOS en SDK's voor iOS - Onjuiste toegangscontrole Kritisch CVE-2023-43585

Ernstniveau: Kritisch

CVSS-score: 7.1

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L

Beschrijving: Als gevolg van een onjuiste toegangscontrole in de Zoom mobiele app voor iOS en Zoom SDK's voor iOS vóór versie 5.16.5 kan een geverifieerde gebruiker zorgen voor openbaarmaking van informatie via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom mobiele app voor iOS vóór versie 5.16.5
  • Zoom Rooms for Conference Room voor macOS vóór versie 5.11.6

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23056 12/12/2023 Zoom mobiele app voor Android, Zoom mobiele app voor iOS en Zoom SDK's - Cryptografische problemen Kritisch CVE-2023-43583

Ernstniveau: Kritisch

CVSS-score: 4.9

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

Beschrijving: Als gevolg van cryptografische problemen met de Zoom mobiele app voor Android, de Zoom mobiele app voor iOS en Zoom SDK's voor Android en iOS vóór versie 5.16.0 kan een gebruiker met bevoegdheden zorgen voor openbaarmaking van informatie via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom mobiele app voor Android vóór versie 5.16.0
  • Zoom-client SDK voor iOS vóór versie 5.14.7
  • Zoom-client SDK voor Android vóór versie 5.14.7
  • Zoom-client SDK voor macOS vóór versie 5.14.7
  • Zoom-client SDK voor Linux vóór versie 5.14.7

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23055 11/14/2023 Zoom-clients - Onjuiste autorisatie Kritisch CVE-2023-43582

Ernstniveau: Kritisch

CVSS-score: 5.5

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L

Beschrijving: Als gevolg van een onjuiste autorisatie in sommige Zoom-clients kan een geautoriseerde gebruiker zorgen voor een escalatie van bevoegdheden via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.16.0
  • Zoom-desktopclient voor macOS vóór versie 5.14.5
  • Zoom-desktopclient voor Linux vóór versie 5.14.5
  • Zoom VDI-host en -invoegtoepassing vóór versie 5.14.5
  • Zoom mobiele app voor Android vóór versie 5.14.5
  • Zoom mobiele app voor iOS vóór versie 5.14.5
  • Zoom Rooms voor iPad vóór versie 5.14.5
  • Zoom Rooms voor Android vóór versie 5.14.5
  • Zoom Rooms voor Windows vóór versie 5.14.5
  • Zoom Rooms voor macOS vóór versie 5.14.5

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23054 11/14/2023 Zoom Rooms voor macOS - Onjuist beheer van bevoegdheden Kritisch CVE-2023-43591

Ernstniveau: Kritisch

CVSS-score: 7.8

CVSS-vectorstring: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschrijving: Als gevolg van een onjuist beheer van bevoegdheden in Zoom Rooms voor macOS vóór versie 5.16.0 kan een geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via lokale toegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Rooms voor macOS vóór versie 5.16.0

Bron: Gemeld door Eugene Lim (spaceraccoon).

ZSB-23053 11/14/2023 Zoom Rooms voor macOS - Volgen van een link Kritisch CVE-2023-43590

Ernstniveau: Kritisch

CVSS-score: 7.8

CVSS-vectorstring: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschrijving: Als het gevolg van volgen van een link in Zoom Rooms voor macOS vóór versie 5.16.0 kan een geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via lokale toegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Rooms voor macOS vóór versie 5.16.0

Bron: Gemeld door Eugene Lim (spaceraccoon).

ZSB-23052 11/14/2023 Zoom-clients - Onvoldoende controleflowbeheer Kritisch CVE-2023-43588

Ernstniveau: Kritisch

CVSS-score: 3.5

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N

Beschrijving: Als gevolg van onvoldoende controleflowbeheer in sommige Zoom-clients kan een geverifieerde gebruiker zorgen voor openbaarmaking van informatie via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.16.0

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23051 11/14/2023 Zoom-clients - Cryptografische problemen Kritisch CVE-2023-39199

Ernstniveau: Kritisch

CVSS-score: 4.9

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

Beschrijving: Als gevolg van cryptografische problemen met chatten tijdens vergadering voor sommige Zoom-clients kan een gebruiker met bevoegdheden zorgen voor een openbaarmaking van informatie via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.16.0
  • Zoom Rooms voor Windows-clients vóór versie 5.13.3
  • Zoom VDI voor Windows-clients vóór 5.13.1

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23050 11/14/2023 Zoom-clients - Overschrijding van bufferlimiet Kritisch CVE-2023-39206

Ernstniveau: Kritisch

CVSS-score: 3.7

CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L

Beschrijving: Als gevolg van een overschrijding van de bufferlimiet in Zoom-clients kan een niet-geverifieerde gebruiker zorgen voor een denial-of-service via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.16.0
  • Zoom Rooms voor Windows-clients vóór versie 5.13.3
  • Zoom VDI voor Windows-clients vóór 5.13.1

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23049 11/14/2023 Zoom-clients - Onjuiste controle van condities Kritisch CVE-2023-39205

Ernstniveau: Kritisch

CVSS-score: 4.3

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Beschrijving: Als gevolg van een onjuiste controle van condities in Zoom Team Chat voor Zoom-clients kan een geverifieerde gebruiker zorgen voor een denial-of-service via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.16.0
  • Alle Zoom Rooms for Conference Room voor Windows vóór versie 5.10.0
  • Alle Zoom Plugins for Microsoft Outlook voor Windows vóór versie 5.10.3
  • Alle Zoom VDI Windows Meeting Clients VÓÓR versie 5.9.6

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23048 11/14/2023 Zoom Clients - Overschrijding van bufferlimiet Kritisch CVE-2023-39204

Ernstniveau: Kritisch

CVSS-score: 4.3

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L

Beschrijving: Als gevolg van een overschrijding van de bufferlimiet in Zoom-clients kan een niet-geverifieerde gebruiker zorgen voor een denial-of-service via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.15.10
  • Alle Zoom Rooms for Conference Room voor Windows vóór versie 5.10.0
  •  
  •  
  •  

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23047 11/14/2023 Zoom-desktopclient voor Windows en Zoom VDI-client - Ongecontroleerd resourceverbruik Kritisch CVE-2023-39203

Ernstniveau: Kritisch

CVSS-score: 4.3

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L

Beschrijving: Als gevolg van ongecontroleerd resourceverbruik in Zoom Team Chat voor de Zoom-desktopclient voor Windows en Zoom en de Zoom VDI-client kan een niet-geverifieerde gebruiker zorgen voor openbaarmaking van informatie via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.16.0
  • Zoom Rooms (voor Linux-, macOS- en Windows-)clients vóór versie 5.13.5

Bron: Gemeld door shmoul.

ZSB-23046 11/14/2023 Zoom Rooms-client voor Windows en Zoom VDI-client - Niet-vertrouwd zoekpad Kritisch CVE-2023-39202

Ernstniveau: Kritisch

CVSS-score: 3.1

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:L

Beschrijving: Als gevolg van een niet-vertrouwd zoekpad in de Zoom Rooms-client voor Windows en de Zoom VDI-client kan een gebruiker met bevoegdheden zorgen voor een denial-of-service via lokale toegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Rooms-client voor Windows vóór versie 5.16.0
  •  

Bron: Gemeld door sim0nsecurity.

ZSB-23045 09/12/2023 CleanZoom - Niet-vertrouwd zoekpad Kritisch CVE-2023-39201

Ernstniveau: Kritisch

CVSS-score: 7.2

CVSS-vectorstring: CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H

Beschrijving: Als gevolg van een niet-vertrouwd zoekpad in CleanZoom vóór bestandsdatum 24/07/2023 kan een gebruiker met bevoegdheden zorgen voor een escalatie van bevoegdheden via lokale toegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • CleanZoom vóór versiebestandsdatum 24/07/2023

Bron: Gemeld door sim0nsecurity.

ZSB-23043 09/12/2023 Zoom-desktopclient voor Linux - Onjuiste inputvalidatie Kritisch CVE-2023-39208

Ernstniveau: Kritisch

CVSS-score: 6.5

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L

Beschrijving: Als gevolg van een onjuiste inputvalidatie in de Zoom-desktopclient voor Linux vóór versie 5.15.10 kan een niet-geverifieerde gebruiker zorgen voor een denial-of-service via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Linux vóór versie 5.15.10

Bron: Gemeld door Antoine Roly (aroly).

ZSB-23040 09/12/2023 Zoom-clients - Onjuiste authenticatie Kritisch CVE-2023-39215

Ernstniveau: Kritisch

CVSS-score: 7.1

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:H

Beschrijving: Als gevolg van een onjuiste authenticatie in Zoom-clients kan een geverifieerde gebruiker zorgen voor een denial-of-service via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.15.5
  • Zoom voor macOS vóór versie 5.14.10
  • Zoom VDI voor Windows-clients vóór 5.13.1
  • Zoom Client for Meetings voor Chrome OS vóór versie 5.0.1
  • Zoom Rooms for Conference Room (voor Android, AndroidBali, macOS en Windows) vóór versie 5.8.3
  • Controllers for Zoom Rooms (voor Android, iOS en Windows) vóór versie 5.8.3
  • Zoom VDI Windows Meeting Client vóór versie 5.8.4
  • Zoom VDI Azure Virtual Desktop Plugins (voor Windows x86 of x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) vóór versie 5.8.4.21112

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23041 08/08/2023 Zoom-desktopclient voor Windows - Onjuiste inputvalidatie Kritisch CVE-2023-39209

Ernstniveau: Kritisch

CVSS-score: 5.9

CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Beschrijving: Als gevolg van een onjuiste inputvalidatie in de Zoom-desktopclient voor Windows vóór versie 5.15.5 kan een geverifieerde gebruiker ervoor zorgen dat informatie bekend wordt gemaakt via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.15.5

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23039 08/08/2023 Zoom-clients - Blootstelling van gevoelige informatie Kritisch CVE-2023-39214

Ernstniveau: Kritisch

CVSS-score: 7.6

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H

Beschrijving: Als gevolg van blootstelling van gevoelige informatie in Zoom-clients vóór versie 5.15.5 kan een geverifieerde gebruiker zorgen voor een denial-of-service via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.15.5
  • Zoom VDI Windows Meeting Clients vóór versie 5.12.6
  • Zoom Rooms for Conference Room (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.12.6

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23038 08/08/2023 Zoom-desktopclient voor Windows en Zoom VDI-client - Onjuiste neutralisatie van speciale elementen Kritisch CVE-2023-39213

Ernstniveau: Kritisch

CVSS-score: 9.6

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Beschrijving: Als gevolg van een onjuiste neutralisatie van speciale elementen in de Zoom-desktopclient voor Windows en de Zoom VDI-client kan een niet-geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.15.2
  • Zoom Rooms-client voor Windows vóór versie 5.14.0
  • Zoom VDI Windows Meeting-clients vóór versie 5.14.0

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23037 08/08/2023 Zoom Rooms voor Windows - Niet-vertrouwd zoekpad Kritisch CVE-2023-39212

Ernstniveau: Kritisch

CVSS-score: 7.9

CVSS-vectorstring: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

Beschrijving: Als gevolg van een niet-vertrouwd zoekpad in Zoom Rooms voor Windows vóór versie 5.15.5 kan een geverifieerde gebruiker zorgen voor een denial of service via lokale toegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Rooms voor Windows vóór versie 5.15.5

Bron: Gemeld door sim0nsecurity.

ZSB-23036 08/08/2023 Zoom-desktopclient voor Windows en Zoom Rooms voor Windows - Onjuist beheer van bevoegdheden Kritisch CVE-2023-39211

Ernstniveau: Kritisch

CVSS-score: 8.8

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschrijving: Als gevolg van onjuist beheer van bevoegdheden in de Zoom-desktopclient voor Windows en Zoom Rooms voor Windows vóór versie 5.15.5 kan een geverifieerde gebruiker ervoor zorgen dat informatie bekend wordt gemaakt via lokale toegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.15.5
  • Alle Zoom Rooms for Conference Room voor Windows vóór versie 5.10.0

Bron: Gemeld door sim0nsecurity.

ZSB-23035 08/08/2023 Zoom-client SDK voor Windows - Niet-versleutelde tekstopslag van gevoelige informatie Kritisch CVE-2023-39210

Ernstniveau: Kritisch

CVSS-score: 5.5

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Beschrijving: Als gevolg van niet-versleutelde tekstopslag van gevoelige informatie in de Zoom-client SDK voor Windows vóór versie 5.15.0 kan een geverifieerde gebruiker ervoor zorgen dat informatie bekend wordt gemaakt via lokale toegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-client SDK voor Windows vóór versie 5.15.0

Bron: Gemeld door sim0nsecurity.

ZSB-23034 08/08/2023 Zoom-clients - Afdwinging aan clientzijde van beveiliging aan serverzijde Kritisch CVE-2023-39218

Ernstniveau: Kritisch

CVSS-score: 6.5

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

Beschrijving: Als gevolg van de afdwinging aan clientzijde van beveiliging aan serverzijde in Zoom-clients vóór versie 5.14.10 kan een bevoegde gebruiker ervoor zorgen dat informatie bekend wordt gemaakt via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.14.10
  • Zoom On-Premise Meeting Connector MMR vóór versie 4.6.365.20210703
  • Zoom On-Premise Recording Connector vóór versie 3.8.45.20210703
  • Zoom On-Premise Recording Connector vóór versie 3.8.45.20210703
  • Zoom On-Premise Virtual Room Connector Load Balancer vóór versie 2.5.5496.20210703

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23033 08/08/2023 Zoom-clients - Onjuiste inputvalidatie Kritisch CVE-2023-39217

Ernstniveau: Kritisch

CVSS-score: 5.3

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Beschrijving: Als gevolg van onjuiste inputvalidatie in de Zoom-clients vóór versie 5.14.10 kan een niet-geverifieerde gebruiker zorgen voor een denial-of-service via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.14.10
  • Zoom VDI Windows Meeting Client voor Windows (32-bit) vóór 5.12.6
  • Zoom Rooms voor vergaderzalen voor Windows (32-bit) vóór 5.12.6
  • Zoom on-premise Virtual Room Connector vóór versie 4.4.6752.20210326
  • Zoom on-premise Virtual Room Connector Load Balancer vóór versie 2.5.5495.20210326

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23032 08/08/2023 Zoom-desktopclient voor Windows - Onjuiste inputvalidatie Kritisch CVE-2023-39216

Ernstniveau: Kritisch

CVSS-score: 9.6

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Beschrijving: Als gevolg van onjuiste inputvalidatie in de Zoom-desktopclient voor Windows vóór versie 5.14.7 kan een niet-geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.14.7

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23031 08/08/2023 Zoom-clients - Afdwinging aan clientzijde van beveiliging aan serverzijde Kritisch CVE-2023-36535

Ernstniveau: Kritisch

CVSS-score: 7.1

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L

Beschrijving: Als gevolg van de afdwinging aan clientzijde van beveiliging aan serverzijde in Zoom-clients vóór versie 5.14.10 kan een geverifieerde gebruiker ervoor zorgen dat informatie bekend wordt gemaakt via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-clients voor Windows vóór versie 5.14.10
  • Zoom VDI Windows Meeting Clients vóór versie 5.12.2
  • Zoom Rooms for Conference Room (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.12.2
  • Zoom on-premise Virtual Room Connector vóór versie 4.4.6620.20201110
  • Zoom on-premise Virtual Room Connector Load Balancer vóór versie 2.5.5495.20210326

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23030 08/08/2023 Zoom-desktopclient voor Windows - Path traversal Kritisch CVE-2023-36534

Ernstniveau: Kritisch

CVSS-score: 9.3

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H

Beschrijving: Als gevolg van path traversal in de Zoom-desktopclient voor Windows vóór versie 5.14.7 kan een niet-geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.14.7

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23029 08/08/2023 Zoom SDK’s - Ongecontroleerd resourceverbruik Kritisch CVE-2023-36533

Ernstniveau: Kritisch

CVSS-score: 7.1

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H

Beschrijving: Als gevolg van ongecontroleerd resourceverbruik in de Zoom SDK's vóór versie 5.14.7 kan een niet-geverifieerde gebruiker zorgen voor een denial of service via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-client SDK voor Windows vóór versie 5.14.7
  • Zoom VDI Windows Meeting Client vóór versie 5.10.7
  • Zoom Rooms for Conference Room (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.11.0
  • Zoom On-Premise Recording Connector vóór versie 3.8.45.20210703
  • Zoom On-Premise Virtual Room Connector Load Balancer vóór versie 2.5.5496.20210703

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23028 08/08/2023 Zoom Clients - Overschrijding van bufferlimiet Kritisch CVE-2023-36532

Ernstniveau: Kritisch

CVSS-score: 5.9

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Beschrijving: Als gevolg van de overschrijding van de bufferlimiet in Zoom-clients vóór versie 5.14.5 kan een niet-geverifieerde gebruiker zorgen voor een denial of service via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.14.5
  • Zoom on-premise Meeting Connector MMR vóór versie 4.6.360.20210325
  • Zoom on-premise Recording Connector vóór versie 3.8.44.20210326
  • Zoom on-premise Virtual Room Connector vóór versie 4.4.6752.20210326
  • Zoom on-premise Virtual Room Connector Load Balancer vóór versie 2.5.5495.20210326

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23027 08/08/2023 Zoom-desktopclient voor Windows - Onvoldoende verificatie van de authenticiteit van gegevens Kritisch CVE-2023-36541

Ernstniveau: Kritisch

CVSS-score: 8

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Beschrijving: Als gevolg van onvoldoende verificatie van de authenticiteit van gegevens in de Zoom-desktopclient voor Windows vóór versie 5.14.5 kan een geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.14.5

Bron: Gemeld door sim0nsecurity.

ZSB-23026 08/08/2023 Zoom-desktopclient voor Windows - Niet-vertrouwd zoekpad Kritisch CVE-2023-36540

Ernstniveau: Kritisch

CVSS-score: 7.3

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Beschrijving: Als gevolg van een niet-vertrouwd zoekpad in het installatieprogramma voor de Zoom-desktopclient voor Windows vóór versie 5.14.5 kan een geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via lokale toegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.14.5

Bron: Gemeld door sim0nsecurity.

ZSB-23024 07/11/2023 Onjuiste toegangscontrole Kritisch CVE-2023-36538

Ernstniveau: Kritisch

CVSS-score: 8.4

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Beschrijving: Als gevolg van onjuiste toegangscontrole in Zoom Rooms voor Windows vóór versie 5.15.0 kan een geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via lokale toegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Rooms voor Windows vóór versie 5.15.0

Bron: Gemeld door sim0nsecurity.

ZSB-23023 07/11/2023 Onjuist beheer van bevoegdheden Kritisch CVE-2023-36537

Ernstniveau: Kritisch

CVSS-score: 7.3

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Beschrijving: Als gevolg van een onjuist beheer van bevoegdheden in Zoom Rooms voor Windows vóór versie 5.14.5 kan een geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via lokale toegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Rooms voor Windows-clients vóór versie 5.12.7

Bron: Gemeld door sim0nsecurity

ZSB-22033 01/06/2023 Path traversal in Zoom voor Android-clients Kritisch CVE-2022-36928

Ernstniveau: Kritisch

CVSS-score: 6.1

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N

Beschrijving: Zoom voor Android-clients vóór versie 5.13.0 bevatten een kwetsbaarheid met betrekking tot path traversal. Een externe app kan deze kwetsbaarheid misbruiken om te lezen en schrijven naar de map met Zoom-toepassingsgegevens.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom voor Android-clients vóór versie 5.13.0

Bron: Gemeld door Dimitrios Valsamaras van Microsoft

ZSB-22032 01/06/2023 Lokale escalatie van bevoegdheden in Zoom Rooms voor macOS-clients Kritisch CVE-2022-36926
CVE-2022-36927

Ernstniveau: Kritisch

CVSS-score: 8.8

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschrijving: Zoom Rooms voor macOS-clients vóór versie 5.11.3 bevatten een kwetsbaarheid met betrekking tot de lokale escalatie van bevoegdheden. Een lokale gebruiker met weinig bevoegdheden kan deze kwetsbaarheid misbruiken om zijn/haar bevoegdheden te escaleren naar root.
Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Rooms voor macOS-clients vóór versie 5.11.3

Bron: Gemeld door Kirin (Pwnrin)

ZSB-22031 01/06/2023 Genereren van onveilige sleutel voor Zoom Rooms voor macOS-clients Kritisch CVE-2022-36925

Ernstniveau: Kritisch

CVSS-score: 4.4

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

Beschrijving: Zoom Rooms voor macOS-clients vóór versie 5.11.4 bevatten een mechanisme dat een onveilige sleutel genereert. De coderingssleutel die wordt gebruikt voor interprocescommunicatie tussen de Zoom Rooms-daemonservice en de Zoom Rooms-client werd gegenereerd met behulp van parameters die konden worden verkregen door een lokale toepassing met weinig bevoegdheden. Die sleutel kan vervolgens worden gebruikt voor interactie met de daemonservice met als doel functies met een hoog niveau van bevoegdheden uit te voeren en een lokale denial-of-service te veroorzaken.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Rooms voor macOS vóór versie 5.11.4

Bron: Gemeld door Kirin (Pwnrin)

ZSB-22030 11/15/2022 Lokale escalatie van bevoegdheden in Zoom Rooms-installatieprogramma voor Windows Kritisch CVE-2022-36924

Ernstniveau: Kritisch

CVSS-score: 8.8

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschrijving: Het Zoom Rooms-installatieprogramma voor Windows vóór versie 5.12.6 bevat een kwetsbaarheid met betrekking tot de lokale escalatie van bevoegdheden. Een lokale gebruiker met weinig bevoegdheden kan deze kwetsbaarheid tijdens de installatieprocedure misbruiken om zijn/haar bevoegdheden te escaleren naar de SYSTEM-gebruiker.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Rooms-installatieprogramma voor Windows vóór versie 5.12.6

Bron: Gemeld door sim0nsecurity

ZSB-22029 11/15/2022 Lokale escalatie van bevoegdheden in Zoom Client-installatieprogramma voor macOS Kritisch CVE-2022-28768

Ernstniveau: Kritisch

CVSS-score: 8.8

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschrijving: Het Zoom Client for Meetings-installatieprogramma voor macOS (standaard en voor IT-beheerders) vóór versie 5.12.6 bevat een kwetsbaarheid met betrekking tot de lokale escalatie van bevoegdheden. Een lokale gebruiker met weinig bevoegdheden kan deze kwetsbaarheid tijdens de installatieprocedure misbruiken om zijn/haar bevoegdheden te escaleren naar root.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings-installatieprogramma voor macOS (standaard en voor IT-beheerders) vóór versie 5.12.6

Bron: Gemeld door Koh M. Nakagawa (tsunekoh)

ZSB-22027 11/15/2022 DLL-injectie in Zoom Windows-clients Kritisch CVE-2022-28766

Ernstniveau: Kritisch

CVSS-score: 8.1

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L

Beschrijving: Windows 32-bitversies van de Zoom Client for Meetings vóór versie 5.12.6 en Zoom Rooms voor vergaderruimtes vóór versie 5.12.6 zijn gevoelig voor een kwetsbaarheid met betrekking tot een DLL-injectie. Een lokale gebruiker met weinig bevoegdheden kan deze kwetsbaarheid misbruiken om willekeurige code uit te voeren binnen de context van de Zoom-client.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings voor Windows (32-bit) vóór versie 5.12.6
  • Zoom VDI Windows Meeting Client voor Windows (32-bit) vóór 5.12.6
  • Zoom Rooms voor vergaderzalen voor Windows (32-bit) vóór 5.12.6

Bron: Gemeld door sim0nsecurity

ZSB-22025 11/10/2022 Blootstelling van lokale informatie in Zoom-clients Kritisch CVE-2022-28764

Ernstniveau: Kritisch

CVSS-score: 3.3

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Beschrijving: De Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.12.6 is vatbaar voor een kwetsbaarheid met betrekking tot blootstelling van lokale informatie.

Een fout waarbij gegevens van een lokale SQL-database niet worden gewist na gebruik van een onvoldoende beveiligde sleutel op het desbetreffende apparaat die deze database versleutelt. Dit kan ertoe leiden dat een lokale kwaadwillende gebruiker gegevens van de vergadering kan bemachtigen, zoals chats tijdens de vergadering, voor de vorige vergadering die vanaf dat lokale gebruikersaccount werd bijgewoond.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.12.6
  • Zoom VDI Windows Meeting Clients vóór versie 5.12.6
  • Zoom Rooms for Conference Room (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.12.6

Bron: Gemeld door Christian Zäske van SySS GmbH

ZSB-22024 10/24/2022 Verkeerde URL-parsering in Zoom-clients Kritisch CVE-2022-28763

Ernstniveau: Kritisch

CVSS-score: 8.8

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Beschrijving: De Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.12.2 is vatbaar voor een kwetsbaarheid in het parseren van URL's. Als een schadelijke Zoom-vergadering-URL wordt geopend, kan deze schadelijke link de gebruiker verbinding laten maken met een willekeurig netwerkadres, wat tot extra aanvallen kan leiden, waaronder overnames van sessies.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.12.2
  • Zoom VDI Windows Meeting Clients vóór versie 5.12.2
  • Zoom Rooms for Conference Room (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.12.2

Bron: Gemeld door Zoom Security Team

ZSB-22023 10/11/2022 Verkeerde configuratie van debugpoort in Zoom Apps in de Zoom Client for Meetings voor macOS Kritisch CVE-2022-28762

Ernstniveau: Kritisch

CVSS-score: 7.3

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

Beschrijving: Zoom Client for Meetings voor macOS (standaard en voor IT-beheerders) vanaf versie 5.10.6 en vóór versie 5.12.0 bevat een verkeerde configuratie van een debugpoort. Wanneer de weergavecontext van de cameramodus is ingeschakeld als onderdeel van de Zoom App Layers API door bepaalde Zoom Apps uit te voeren, wordt een lokale debugpoort geopend door de Zoom-client. Een lokale kwaadwillende gebruiker kan deze debugpoort gebruiken om verbinding te maken met en controle uit te oefenen over de Zoom Apps die in de Zoom-client worden uitgevoerd.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings voor macOS (standaard en voor IT-beheerders) vanaf versie 5.10.6 en vóór versie 5.12.0

Bron: Gemeld door Zoom Security Team

ZSB-22022 10/11/2022 Lokale Zoom-implementaties: ongeschikte toegangscontrole Kritisch CVE-2022-28761

Ernstniveau: Kritisch

CVSS-score: 6.5

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Beschrijving: Zoom On-Premise Meeting Connector MMR vóór versie 4.8.20220916.131 bevat een kwetsbaarheid met betrekking tot ongeschikte toegangscontrole. Als gevolg hiervan kan een kwaadwillende persoon, wanneer deze toestemming heeft gekregen voor deelname aan een vergadering of webinar, voorkomen dat deelnemers audio en video ontvangen, waardoor de vergadering wordt verstoord.

Voor lokale Zoom-implementaties geldt dat IT-beheerders hun Zoom-software up-to-date kunnen houden door de aanwijzingen in dit artikel te volgen: https://support.zoom.us/hc/en-us/articles/360043960031

Getroffen producten:

  • Zoom On-Premise Meeting Connector MMR vóór versie 4.8.20220916.131

Bron: Gemeld door Zoom Offensive Security Team

ZSB-22021 09/13/2022 Lokale Zoom-implementaties: ongeschikte toegangscontrole Kritisch CVE-2022-28760

Ernstniveau: Kritisch

CVSS-score: 6.5

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Beschrijving: Zoom On-Premise Meeting Connector MMR vóór versie 4.8.20220815.130 bevat een kwetsbaarheid met betrekking tot ongeschikte toegangscontrole. Als gevolg hiervan kan een kwaadwillige persoon deelnemen aan een vergadering zonder zichtbaar te zijn voor de andere deelnemers wanneer deze persoon toestemming heeft gekregen voor deelname.

Voor lokale Zoom-implementaties geldt dat IT-beheerders hun Zoom-software up-to-date kunnen houden door de aanwijzingen in dit artikel te volgen: https://support.zoom.us/hc/en-us/articles/360043960031

Getroffen producten:

  • Zoom On-Premise Meeting Connector MMR vóór versie 4.8.20220815.130

Bron: Gemeld door Zoom Offensive Security Team

ZSB-22020 09/13/2022 Lokale Zoom-implementaties: ongeschikte toegangscontrole Kritisch CVE-2022-28758
CVE-2022-28759

Ernstniveau: Kritisch

CVSS-score: 8.2

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Beschrijving: Zoom On-Premise Meeting Connector MMR vóór versie 4.8.20220815.130 bevat een kwetsbaarheid met betrekking tot ongeschikte toegangscontrole. Als gevolg hiervan kan een kwaadwillige persoon toegang krijgen tot de audio- en videofeed van een vergadering waaraan deze persoon niet mag deelnemen en andere verstoringen van de vergadering veroorzaken.

Voor lokale Zoom-implementaties geldt dat IT-beheerders hun Zoom-software up-to-date kunnen houden door de aanwijzingen in dit artikel te volgen: https://support.zoom.us/hc/en-us/articles/360043960031

Getroffen producten:

  • Zoom On-Premise Meeting Connector MMR vóór versie 4.8.20220815.130

Bron: Gemeld door Zoom Security Team

ZSB-22019 08/17/2022 Lokale escalatie van bevoegdheden in Automatische updater voor Zoom Client for Meetings voor macOS Kritisch CVE-2022-28757

Ernstniveau: Kritisch

CVSS-score: 8.8

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschrijving: De Zoom Client for Meetings voor macOS (standaard en voor IT-beheerders) vanaf versie 5.7.3 en vóór versie 5.11.6 bevat een kwetsbaarheid in het proces voor automatisch updaten. Een lokale gebruiker met weinig bevoegdheden kan deze kwetsbaarheid misbruiken om zijn/haar bevoegdheden te escaleren naar root.

Opmerking: dit probleem maakt het mogelijk de patch te omzeilen die in 5.11.5 is uitgegeven om CVE-2022-28756 te verhelpen.

Gebruikers kunnen zichzelf beschermen door de huidige updates toe te passen of de meest recente Zoom-software met alle huidige beveiligingsupdates te downloaden vanaf https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings voor macOS (standaard en voor IT-beheerders) vanaf versie 5.7.3 en vóór versie 5.11.6

Bron: Gemeld door Csaba Fitzl (theevilbit) van Offensive Security

ZSB-22018 08/13/2022 Lokale escalatie van bevoegdheden in Automatische updater voor macOS Zoom-producten [Updated 2022-09-13] Kritisch CVE-2022-28756

Ernstniveau: Kritisch

CVSS-score: 8.8

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschrijving: De Zoom Client for Meetings voor macOS (standaard en voor IT-beheerders) vanaf versie 5.7.3 en vóór versie 5.11.5 en Zoom Rooms voor vergaderzalen voor macOS vóór versie 5.11.6 bevat een kwetsbaarheid in het proces voor automatisch updaten. Een lokale gebruiker met weinig bevoegdheden kan deze kwetsbaarheid misbruiken om zijn/haar bevoegdheden te escaleren naar root.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

*Wijzigingen - 13 september 2022 - Bijgewerkte titel en beschrijving, en Zoom Rooms toegevoegd aan de sectie "Getroffen producten".

Getroffen producten:

  • Zoom Client for Meetings voor macOS (standaard en voor IT-beheerders) vanaf versie 5.7.3 en vóór versie 5.11.5
  • Zoom Rooms for Conference Room voor macOS vóór versie 5.11.6

Bron: Gemeld door Patrick Wardle van Objective-See

ZSB-22017 08/09/2022 Lokale escalatie van bevoegdheden in Zoom Client for Meetings voor macOS Kritisch CVE-2022-28751

Ernstniveau: Kritisch

CVSS-score: 8.8

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschrijving: De Zoom Client for Meetings voor macOS (standaard en voor IT-beheerders) vóór versie 5.11.3 bevat een kwetsbaarheid in de validatie van de pakkethandtekening tijdens het updateproces. Een lokale gebruiker met weinig bevoegdheden kan deze kwetsbaarheid misbruiken om zijn/haar bevoegdheden te escaleren naar root.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings voor macOS (standaard en voor IT-beheerders) vóór versie 5.11.3

Bron: Gemeld door Patrick Wardle van Objective-See

ZSB-22014 08/09/2022 Lokale Zoom-implementaties: ongeschikte toegangscontrole Kritisch CVE-2022-28753
CVE-2022-28754

Ernstniveau: Kritisch

CVSS-score: 7.1

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N

Beschrijving: Zoom On-Premise Meeting Connector MMR vóór versie 4.8.129.20220714 bevat een kwetsbaarheid met betrekking tot ongeschikte toegangscontrole. Als gevolg hiervan kan een kwaadwillige persoon, wanneer deze toestemming heeft gekregen voor deelname aan een vergadering, deelnemen aan die vergadering zonder zichtbaar te zijn voor de andere deelnemers, zichzelf vanuit de wachtruimte in de vergadering toelaten, host worden en andere verstoringen van de vergadering veroorzaken.

Voor lokale Zoom-implementaties geldt dat IT-beheerders hun Zoom-software up-to-date kunnen houden door de aanwijzingen in dit artikel te volgen: https://support.zoom.us/hc/en-us/articles/360043960031

Getroffen producten:

  • Zoom On-Premise Meeting Connector MMR vóór versie 4.8.129.20220714

Bron: Gemeld door Zoom Offensive Security Team

ZSB-22016 08/09/2022 Verkeerde URL-parsering in Zoom-clients [Updated 2022-10-24] Kritisch CVE-2022-28755

Ernstniveau: Kritisch

CVSS-score: 9.6

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Beschrijving: De Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.11.0 is vatbaar voor een kwetsbaarheid in het parseren van URL's. Als een schadelijke Zoom-vergadering-URL wordt geopend, kan deze schadelijke link de gebruiker verbinding laten maken met een willekeurig netwerkadres, wat leidt tot extra aanvallen, waaronder het uitvoeren van externe code door uitvoerbare bestanden te starten vanaf willekeurige paden.

*Wijzigingen - 24 oktober 2022 - Zoom Rooms toegevoegd aan de sectie 'Getroffen producten'.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.11.0

Bron: Gemeld door Zoom Offensive Security Team

ZSB-22012 08/09/2022 Lokale Zoom-implementaties: overschrijding van stackbufferlimiet in Meeting Connector Kritisch CVE-2022-28750

Ernstniveau: Kritisch

CVSS-score: 7.5

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Beschrijving: De Zone Controller (ZC) van Zoom On-Premise Meeting Connector vóór versie 4.8.20220419.112 slaagt er niet in om STUN-foutcodes correct te parseren, wat kan leiden tot geheugenbeschadiging en waardoor een kwaadwillige persoon de kans kan krijgen de toepassing te laten crashen. In versies ouder dan 4.8.12.20211115 kan deze kwetsbaarheid ook worden misbruikt om willekeurige code uit te voeren.

Voor lokale Zoom-implementaties geldt dat IT-beheerders hun Zoom-software up-to-date kunnen houden door de aanwijzingen in dit artikel te volgen: https://support.zoom.us/hc/en-us/articles/360043960031

Getroffen producten:

  • Zone Controller (ZC) van Zoom On-Premise Meeting Connector vóór versie 4.8.20220419.112

Bron: Gemeld door Zoom Offensive Security Team

ZSB-22011 06/14/2022 Onvoldoende autorisatiecontrole tijdens deelname aan vergadering Kritisch CVE-2022-28749

Ernstniveau: Kritisch

CVSS-score: 6.5

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Beschrijving: De lokale vergaderingsconnector van Zoom MMR vóór versie 4.8.113.20220526 controleert de machtigingen van een deelnemer aan een Zoom-vergadering niet goed. Als gevolg hiervan kan een persoon die een bedreiging vormt in de wachtruimte van Zoom deelnemen aan de vergadering zonder toestemming van de gastheer.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • On-Premise vergaderingsconnector vóór versie 4.8.113.20220526

Bron: Gemeld door Zoom Offensive Security Team

ZSB- 22010 06/14/2022 DLL-injectie in Zoom Opener-installatieprogramma voor Zoom- en Zoom Rooms-clients Kritisch CVE-2022-22788

Ernstniveau: Kritisch

CVSS-score: 7.1

CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

Beschrijving: Het Zoom Opener-installatieprogramma wordt door een gebruiker gedownload van de pagina Vergadering starten wanneer wordt geprobeerd deel te nemen aan een vergadering zonder dat de Zoom Meeting Client is geïnstalleerd. Het Zoom Opener-installatieprogramma voor Zoom Client for Meetings vóór versie 5.10.3 en Zoom Rooms for Conference Room voor Windows vóór versie 5.10.3 zijn gevoelig voor een DLL-injectieaanval. Deze kwetsbaarheid kan worden gebruikt om willekeurige code uit te voeren op de host van het slachtoffer.

Gebruikers kunnen zichzelf beschermen door oudere versies van het Zoom Opener-installatieprogramma te verwijderen en de nieuwste versie van het Zoom Opener-installatieprogramma uit te voeren via de knop 'Nu downloaden' op de pagina 'Vergadering starten'. Gebruikers kunnen zichzelf ook beschermen door de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings voor Windows vóór versie 5.10.3
  • Alle Zoom Rooms for Conference Room voor Windows vóór versie 5.10.3

Bron: Gemeld door James Tsz Ko Yeung

ZSB-22009 05/17/2022 Onvoldoende hostnaamvalidatie tijdens serverswitch in Zoom Client for Meetings Kritisch CVE-2022-22787

Ernstniveau: Kritisch

CVSS-score: 5.9

CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Beschrijving: De Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.10.0 kan de hostnaam niet correct valideren tijdens een serverswitchaanvraag. Dit probleem kan worden gebruikt bij een meer geavanceerde aanval om de client van een nietsvermoedende gebruiker te misleiden om verbinding te maken met een schadelijke server wanneer u Zoom-diensten probeert te gebruiken.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.10.0

Bron: Gemeld door Ivan Fratric van Google Project Zero

ZSB-22008 05/17/2022 Downgrade van updatepakket in Zoom Client for Meetings voor Windows Kritisch CVE-2022-22786

Ernstniveau: Kritisch

CVSS-score: 7.5

CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Beschrijving: De Zoom Client for Meetings voor Windows vóór versie 5.10.0 en Zoom Rooms for Conference Room voor Windows vóór versie 5.10.0 kan de installatieversie niet correct controleren tijdens het updateproces. Dit probleem kan worden gebruikt bij een meer geavanceerde aanval om een gebruiker te misleiden om zijn Zoom-client te downgraden naar een minder veilige versie.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Alle Zoom Client for Meetings voor Windows vóór versie 5.10.0
  • Alle Zoom Rooms for Conference Room voor Windows vóór versie 5.10.0

Bron: Gemeld door Ivan Fratric van Google Project Zero

ZSB-22007 05/17/2022 Onjuist beperkte sessiecookies in Zoom Client for Meetings Kritisch CVE-2022-22785

Ernstniveau: Kritisch

CVSS-score: 5.9

CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Beschrijving: De Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.10.0 kan clientsessiecookies niet correct beperken tot Zoom-domeinen. Dit probleem kan worden gebruikt bij een meer geavanceerde aanval om de Zoom-scoped sessiecookies van een gebruiker naar een niet-Zoom-domein te sturen. Dit kan mogelijk spoofing van een Zoom-gebruiker mogelijk maken.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.10.3

Bron: Gemeld door Ivan Fratric van Google Project Zero

ZSB- 22006 05/17/2022 Onjuiste XML-parsering in Zoom Client for Meetings Kritisch CVE-2022-22784

Ernstniveau: Kritisch

CVSS-score: 8.1

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Beschrijving: De Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.10.0 kan XML-strofen in XMPP-berichten niet correct parseren. Hierdoor kan een kwaadwillende gebruiker uit de huidige XMPP-berichtcontext breken en een nieuwe berichtcontext maken om de client van de ontvangende gebruiker verschillende acties te laten uitvoeren. Dit probleem kan worden gebruikt bij een meer geavanceerde aanval om XMPP-berichten van de server te vervalsen.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.10.0

Bron: Gemeld door Ivan Fratric van Google Project Zero

ZSB- 22005 04/27/2022 Blootstelling van procesgeheugen in lokale Zoom Meeting-diensten Kritisch CVE-2022-22783

Ernstniveau: Kritisch

CVSS-score: 8.3

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/CR:H

Beschrijving: Een beveiligingslek in Zoom On-Premise Meeting Connector Controller versie 4.8.102.20220310 en On-Premise Meeting Connector MMR versie 4.8.102.20220310 stelt procesgeheugenfragmenten bloot aan verbonden clients, die kunnen worden waargenomen door een passieve aanvaller.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden.

Getroffen producten:

  • Zoom On-Premise Meeting Connector Controller versie 4.8.102.20220310
  • Zoom On-Premise Meeting Connector MMR versie 4.8.102.20220310

Bron: Zoom Offensive Security Team

ZSB-22004 04/27/2022 Lokale escalatie van bevoegdheden in Windows Zoom Clients Kritisch CVE-2022-22782

Ernstniveau: Kritisch

CVSS-score: 7.9

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

Beschrijving: De Zoom Client for Meetings voor Windows vóór versie 5.9.7, Zoom Rooms for Conference Room voor Windows vóór versie 5.10.0, Zoom Plugins voor Microsoft Outlook voor Windows vóór versie 5.10.3 en Zoom VDI Windows Meeting Clients vóór versie 5.9.6; waren gevoelig voor een probleem met lokale escalatie van bevoegdheden tijdens de reparatie van het installatieprogramma. Een kwaadwillend persoon kan dit gebruiken om mogelijk bestanden of mappen op systeemniveau te verwijderen, waardoor integriteits- of beschikbaarheidsproblemen op de hostcomputer van de gebruiker ontstaan.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Alle Zoom Client for Meetings voor Windows vóór versie 5.9.7
  • Alle Zoom Rooms for Conference Room voor Windows vóór versie 5.10.0
  • Alle Zoom Plugins for Microsoft Outlook voor Windows vóór versie 5.10.3
  • Alle Zoom VDI Windows Meeting Clients VÓÓR versie 5.9.6

Bron: Gemeld door het Zero Day Initiative

ZSB-22003 04/27/2022 Downgrade van updatepakket in Zoom Client for Meetings voor macOS Kritisch CVE-2022-22781

Ernstniveau: Kritisch

CVSS-score: 7.5

CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Beschrijving: De Zoom Client for Meetings voor macOS (standaard en voor IT-beheerders) vóór versie 5.9.6 kan de pakketversie niet goed controleren tijdens het updateproces. Dit kan ervoor zorgen dat een kwaadwillende persoon de momenteel geïnstalleerde versie van een nietsvermoedende gebruiker kan bijwerken naar een minder veilige versie.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Alle Zoom Clients for Meetings voor macOS (standaard en voor IT-beheerders) vóór versie 5.9.6

Bron: Gemeld door Patrick Wardle van Objective-See

ZSB-22002 02/08/2022 Zoom Team Chat gevoelig voor decompressiebommen Kritisch CVE-2022-22780

Ernstniveau: Kritisch

CVSS-score: 4.7

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L

Beschrijving: De chatfunctie van de Zoom Client for Meetings was gevoelig voor aanvallen met Zip bombing in de volgende productversies: Android voor versie 5.8.6, iOS voor versie 5.9.0, Linux voor versie 5.8.6, macOS voor versie 5.7.3 en Windows voor versie 5.6.3. Dit kan leiden tot beschikbaarheidsproblemen op de clienthost door systeembronnen uit te putten.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Alle Zoom Clients for Meetings voor Android vóór versie 5.8.6
  • Alle Zoom Client for Meetings voor Windows vóór versie 5.9.0
  • Alle Zoom Client for Meetings voor Linux vóór versie 5.8.6
  • Alle Zoom Client for Meetings voor macOS vóór versie 5.7.3
  • Alle Zoom Client for Meetings voor Windows vóór versie 5.6.3

Bron: Gemeld door Johnny Yu van Walmart Global Tech

ZSB-22001 02/08/2022 Bewaarde geëxplodeerde berichten in Keybase-clients voor macOS en Windows Kritisch CVE-2022-22779

Ernstniveau: Kritisch

CVSS-score: 3.7

CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Beschrijving: De Keybase-clients voor macOS en Windows vóór versie 5.9.0 kunnen uigeklapte berichten die door een gebruiker zijn gestart, niet correct verwijderen. Dit kan gebeuren als de ontvangende gebruiker overschakelt naar een niet-chatfunctie en de host in een slaapstand plaatst voordat de verzendende gebruiker de berichten uitklapt. Dit kan leiden tot openbaarmaking van gevoelige informatie die uit het bestandssysteem van een gebruiker moest worden verwijderd.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Keybase-software met alle actuele beveiligingsupdates te downloaden van https://keybase.io/download.

Getroffen producten:

  • Alle Keybase Clients voor macOS en Windows vóór versie 5.9.0

Bron: Gemeld door Olivia O'Hara

ZSB-21022 12/14/2021 Willekeurige uitvoering van opdrachten in Keybase Client voor Windows Kritisch CVE-2021-34426

Ernstniveau: Kritisch

CVSS-score: 5.3

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

Beschrijving: Er is een kwetsbaarheid ontdekt in de Keybase Client voor Windows vóór versie 5.6.0 toen een gebruiker de opdracht "keybase git lfs-config" op de opdrachtregel uitvoerde. In versies vóór 5.6.0 kan een kwaadwillende persoon met schrijftoegang tot de Git-opslagplaats van een gebruiker dit beveiligingslek gebruiken om mogelijk willekeurige Windows-opdrachten uit te voeren op het lokale systeem van een gebruiker.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Keybase-software met alle actuele beveiligingsupdates te downloaden van https://keybase.io/download.

Getroffen producten:

  • Alle Keybase Clients voor Windows vóór versie 5.6.0

Bron: Gemeld door RyotaK

ZSB-21021 12/14/2021 Vervalsing verzoek serverzijde in chat van Zoom Client for Meetings Kritisch CVE-2021-34425

Ernstniveau: Kritisch

CVSS-score: 4.7

CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N

Beschrijving: De Zoom Client for Meetings vóór versie 5.7.3 (voor Android, iOS, Linux, macOS en Windows) bevat een kwetsbaarheid voor vervalsing van verzoeken aan de serverzijde in de functie "link preview" van de chat. In versies vóór 5.7.3, als een gebruiker de functie "link preview" van de chat inschakelt, kan een kwaadwillende persoon de gebruiker misleiden om mogelijk willekeurige HTTP GET-verzoeken te verzenden naar URL's die de acteur niet rechtstreeks kan bereiken.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Alle Zoom Clients for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.7.3

Bron: Gemeld door Johnny Yu van Walmart Global Tech

ZSB-21020 11/24/2021 Blootstelling procesgeheugen in Zoom Client en andere producten Kritisch CVE-2021-34424

Ernstniveau: Kritisch

CVSS-score: 5.3

CVSS-vectorstring: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Beschrijving: Er werd een kwetsbaarheid ontdekt in de producten die worden vermeld in de sectie 'Getroffen producten' van dit bulletin, waardoor de status van het procesgeheugen mogelijk is blootgesteld. Dit probleem kan worden gebruikt om mogelijk inzicht te krijgen in willekeurige gebieden van het geheugen van het product.

Zoom heeft dit probleem verholpen in de nieuwste releases van de producten die hieronder worden vermeld. Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden.

Getroffen producten:

  • Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.8.4
  • Zoom Client for Meetings voor Blackberry (voor Android en iOS) vóór versie 5.8.1
  • Zoom Client for Meetings voor intune (voor Android en iOS) vóór versie 5.8.4
  • Zoom Client for Meetings voor Chrome OS vóór versie 5.0.1
  • Zoom Rooms for Conference Room (voor Android, AndroidBali, macOS en Windows) vóór versie 5.8.3
  • Controllers for Zoom Rooms (voor Android, iOS en Windows) vóór versie 5.8.3
  • Zoom VDI Windows Meeting Client vóór versie 5.8.4
  • Zoom VDI Azure Virtual Desktop Plugins (voor Windows x86 of x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) vóór versie 5.8.4.21112
  • Zoom VDI Citrix Plugins (voor Windows x86 of x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) vóór versie 5.8.4.21112
  • Zoom VDI VMware Plugins (voor Windows x86 of x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) vóór versie 5.8.4.21112
  • Zoom Meeting SDK voor Android vóór versie 5.7.6.1922
  • Zoom Meeting SDK voor iOS vóór versie 5.7.6.1082
  • Zoom Meeting SDK voor Windows vóór versie 5.7.6.1081
  • Zoom Meeting SDK voor Mac vóór versie 5.7.6.1340
  • Zoom Video SDK (voor Android, iOS, macOS en Windows) vóór versie 1.1.2
  • Zoom On-Premise Meeting Connector vóór versie 4.8.12.20211115
  • Zoom On-Premise Meeting Connector MMR vóór versie 4.8.12.20211115
  • Zoom On-Premise Recording Connector vóór versie 5.1.0.65.20211116
  • Zoom On-Premise Virtual Room Connector vóór versie 4.4.7266.20211117
  • Zoom On-Premise Virtual Room Connector vóór versie 4.4.7266.20211117
  • Zoom Hybrid Zproxy vóór versie 1.0.1058.20211116
  • Zoom Hybride MMR vóór versie 4.6.20211116.131_x86-64

Bron: Gemeld door Natalie Silvanovich van Google Project Zero

ZSB-21019 11/24/2021 Bufferoverloop in Zoom Client en andere producten Kritisch CVE-2021-34423

Ernstniveau: Kritisch

CVSS-score: 7.3

CVSS-vectorstring: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Beschrijving: Er werd een kwetsbaarheid voor bufferoverloop ontdekt in de producten vermeld onder 'Getroffen producten' van dit bulletin. Hierdoor kan een kwaadwillige persoon de service of app laten crashen of dit beveiligingslek gebruiken om willekeurige code uit te voeren.

Zoom heeft dit probleem verholpen in de nieuwste releases van de producten die hieronder worden vermeld. Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden.

Getroffen producten:

  • Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.8.4
  • Zoom Client for Meetings voor Blackberry (voor Android en iOS) vóór versie 5.8.1
  • Zoom Client for Meetings voor intune (voor Android en iOS) vóór versie 5.8.4
  • Zoom Client for Meetings voor Chrome OS vóór versie 5.0.1
  • Zoom Rooms for Conference Room (voor Android, AndroidBali, macOS en Windows) vóór versie 5.8.3
  • Controllers for Zoom Rooms (voor Android, iOS en Windows) vóór versie 5.8.3
  • Zoom VDI Windows Meeting Client vóór versie 5.8.4
  • Zoom VDI Azure Virtual Desktop Plugins (voor Windows x86 of x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) vóór versie 5.8.4.21112
  • Zoom VDI Citrix Plugins (voor Windows x86 of x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) vóór versie 5.8.4.21112
  • Zoom VDI VMware Plugins (voor Windows x86 of x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) vóór versie 5.8.4.21112
  • Zoom Meeting SDK voor Android vóór versie 5.7.6.1922
  • Zoom Meeting SDK voor iOS vóór versie 5.7.6.1082
  • Zoom Meeting SDK voor macOS vóór versie 5.7.6.1340
  • Zoom Meeting SDK voor Windows vóór versie 5.7.6.1081
  • Zoom Video SDK (voor Android, iOS, macOS en Windows) vóór versie 1.1.2
  • Zoom On-Premise Meeting Connector Controller vóór versie 4.8.12.20211115
  • Zoom On-Premise Meeting Connector MMR vóór versie 4.8.12.20211115
  • Zoom On-Premise Recording Connector vóór versie 5.1.0.65.20211116
  • Zoom On-Premise Virtual Room Connector vóór versie 4.4.7266.20211117
  • Zoom On-Premise Virtual Room Connector vóór versie 4.4.7266.20211117
  • Zoom Hybrid Zproxy vóór versie 1.0.1058.20211116
  • Zoom Hybride MMR vóór versie 4.6.20211116.131_x86-64

Bron: Bron: Gemeld door Natalie Silvanovich van Google Project Zero

ZSB-21018 11/09/2021 Path traversal van bestandsnaam in Keybase Client voor Windows Kritisch CVE-2021-34422

Ernstniveau: Kritisch

CVSS-score: 7.2

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

Beschrijving: De Keybase Client voor Windows vóór versie 5.7.0 bevat een kwetsbaarheid voor path traversal bij het controleren van de bestandsnaam geüpload naar een teammap. Een kwaadwillige gebruiker kan een bestand uploaden naar een gedeelde map met een speciaal vervaardigde bestandsnaam waarmee een gebruiker een toepassing kan uitvoeren die niet bedoeld was op zijn hostcomputer. Als een kwaadwillige gebruiker dit probleem heeft gebruikt met de functie voor het delen van openbare mappen van de Keybase-client, kan dit leiden tot uitvoering van externe code.

Keybase heeft dit probleem opgelost in de 5.7.0 Keybase Client voor Windows-release. Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Keybase-software met alle actuele beveiligingsupdates te downloaden van https://keybase.io/download.

Getroffen producten:

  • Keybase Client voor Windows vóór versie 5.7.0

Bron: Gemeld door m4t35z

ZSB-21017 11/09/2021 Bewaarde uitgeklapte berichten in Keybase-clients voor Android en iOS Kritisch CVE-2021-34421

Ernstniveau: Kritisch

CVSS-score: 3.7

CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Beschrijving: De Keybase Client voor Android vóór versie 5.8.0 en de Keybase Client voor iOS vóór versie 5.8.0 kunnen uitgeklapte berichten die door een gebruiker zijn gestart niet correct verwijderen als de ontvangende gebruiker de chatsessie op de achtergrond plaatst terwijl de verzendende gebruiker de berichten uitklapt. Dit kan leiden tot openbaarmaking van gevoelige gegevens die van het apparaat van de klant moest worden verwijderd.

Keybase heeft dit probleem opgelost in de releases 5.8.0 Keybase Client voor Android en de 5.8.0 Keybase Client voor iOS. Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Keybase-software met alle actuele beveiligingsupdates te downloaden van https://keybase.io/download.

Getroffen producten:

  • Alle Keybase Client voor Android voor versie 5.8.0
  • Alle Keybase Clients voor iOS vóór versie 5.8.0

Bron: Gemeld door Olivia O'Hara, John Jackson, Jackson Henry en Robert Willis

ZSB-21016 11/09/2021 Omzeiling uitvoerbare handtekening Zoom Windows-installatie Kritisch CVE-2021-34420

Ernstniveau: Kritisch

CVSS-score: 4.7

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N

Beschrijving: Het installatieprogramma Zoom Client for Meetings voor Windows vóór versie 5.5.4 controleert de handtekening van bestanden met de extensie .msi, .ps1 en .bat niet goed. Dit kan ertoe leiden dat een kwaadwillige persoon schadelijke software op de computer van een klant installeert.

Zoom heeft dit probleem opgelost in de release 5.5.4 Zoom Client for Meetings voor Windows. Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Alle Zoom Client for Meetings voor Windows vóór versie 5.5.4

Bron: Gemeld Laurent Delosieres van ManoMano

ZSB-21015 11/09/2021 HTML-injectie in Zoom Linux-client Kritisch CVE-2021-34419

Ernstniveau: Kritisch

CVSS-score: 3.7

CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

Beschrijving: In de Zoom Client for Meetings voor Ubuntu Linux vóór versie 5.1.0 is er een HTML-injectiefout bij het verzenden van een verzoek voor externe controle naar een gebruiker tijdens het delen van schermen in de vergadering. Hierdoor kunnen deelnemers aan de vergadering het doelwit zijn van social engineering-aanvallen.

Zoom heeft dit probleem opgelost in de release 5.1.0 Zoom Client for Meetings voor Ubuntu Linux. Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings voor Ubuntu Linux vóór versie 5.1.0

Bron: Gemeld door Danny de Weille en Rick Verdoes van hackdefense

ZSB-21014 11/09/2021 Crash Pre-auth Null in lokale webconsole Kritisch CVE-2021-34418

Ernstniveau: Kritisch

CVSS-score: 4.0

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Beschrijving: De aanmelddienst van de webconsole voor de producten vermeld in de sectie 'Getroffen producten' van dit bulletin, kan niet valideren dat er een NULL-byte is verzonden tijdens de verificatie. Dit kan leiden tot een crash van de inlogservice.

Getroffen producten:

  • Zoom On-Premise Meeting Connector Controller versie 4.6.239.20200613
  • Zoom On-Premise Meeting Connector MMR vóór versie 4.6.239.20200613
  • Zoom On-Premise Recording Connector vóór versie 3.8.42.20200905
  • Zoom On-Premise Virtual Room Connector vóór versie 4.4.6344.20200612
  • Zoom On-Premise Virtual Room Connector Load Balancer vóór versie 2.5.5492.20200616

Bron: Gemeld door Jeremy Brown

ZSB-21013 11/09/2021 Geverifieerde uitvoering van opdrachten op afstand met rootrechten via webconsole in MMR Kritisch CVE-2021-34417

Ernstniveau: Kritisch

CVSS-score: 7.9

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N

Beschrijving: De netwerkproxypagina op de web portal voor de producten vermeld onder 'Getroffen producten' van dit bulletin, kan de input niet valideren die wordt verzonden in verzoeken voor het instellen van het wachtwoord van de netwerkproxy. Dit kan leiden tot het op afstand injecteren van opdrachten door een web portal-beheerder.

Getroffen producten:

  • Zoom On-Premise Meeting Connector Controller versie 4.6.365.20210703
  • Zoom On-Premise Meeting Connector MMR vóór versie 4.6.365.20210703
  • Zoom On-Premise Recording Connector vóór versie 3.8.45.20210703
  • Zoom On-Premise Recording Connector vóór versie 3.8.45.20210703
  • Zoom On-Premise Virtual Room Connector Load Balancer vóór versie 2.5.5496.20210703

Bron: Gemeld door Jeremy Brown

ZSB-21012 09/30/2021 Uitvoering van externe code tegen lokale afbeeldingen via het web portal Kritisch CVE-2021-34416

Ernstniveau: Kritisch

CVSS-score: 5.5

CVSS-vectorstring: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N

Beschrijving: Het web portal voor beheerinstellingen voor netwerkadressen voor de lokale Zoom Meeting Connector vóór versie 4.6.360.20210325, lokale Zoom Meeting Connector MMR vóór versie 4.6.360.20210325, lokale Zoom Recording Connector vóór versie 3.8.44.20210326, lokale Zoom Virtual Room Connector vóór versie 4.4.6752.20210326 en lokale Zoom Virtual Room Connector Load Balancer vóór versie 2.5.5495.20210326 kan de input verzonden in verzoeken om de netwerkconfiguratie bij te werken niet valideren. Dit kan leiden tot externe opdrachtinjectie op de lokale image door de web portal-beheerders.

Getroffen producten:

  • Lokale Zoom Meeting Connector vóór versie 4.6.360.20210325
  • Zoom on-premise Meeting Connector MMR vóór versie 4.6.360.20210325
  • Zoom on-premise Recording Connector vóór versie 3.8.44.20210326
  • Zoom on-premise Virtual Room Connector vóór versie 4.4.6752.20210326
  • Zoom on-premise Virtual Room Connector Load Balancer vóór versie 2.5.5495.20210326

Bron: Gemeld door Egor Dimitrenko van Positive Technologies

ZSB-21011 09/30/2021 ZC crasht bij het gebruik van een PDU die veel allocaties veroorzaakt Kritisch CVE-2021-34415

Ernstniveau: Kritisch

CVSS-score: 7.5

CVSS-vectorstring: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Beschrijving: De Zone Controller-dienst in de lokale Zoom Meeting Connector Controller vóór versie 4.6.358.20210205 controleert het cnt-veld verzonden in binnenkomende netwerkpakketten niet. Dit leidt tot uitputting van bronnen en systeemcrash.

Getroffen producten:

  • Lokale Zoom Meeting Connector Controller vóór versie 4.6.358.20210205

Bron: Gemeld door Nikita Abramov van Positive Technologies

ZSB-21010 09/30/2021 Uitvoering van externe code tegen Meeting Connector-server via web portal-netwerkproxyconfiguratie Kritisch CVE-2021-34414

Ernstniveau: Kritisch

CVSS-score: 7.2

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Beschrijving: De netwerkproxypagina op de web portal voor de lokale Zoom Meeting Connector Controller vóór versie 4.6.348.20201217, lokale Zoom Meeting Connector MMR vóór versie 4.6.348.20201217, lokale Zoom Recording Connector vóór versie 3.8.42.20200905, lokale Zoom Virtual Room Connector vóór versie 4.4.6620.20201110 en lokale Zoom Virtual Room Connector Load Balancer vóór versie 2.5.5495.20210326 kan input verzonden in verzoeken om de netwerkproxyconfiguratie bij te werken niet valideren. Dit kan leiden tot het op afstand injecteren van opdrachten op de lokale image door een web portal-beheerder.

Getroffen producten:

  • Lokale Zoom Meeting Connector Controller vóór versie 4.6.348.20201217
  • Zoom on-premise Recording Connector vóór versie 3.8.42.20200905
  • Zoom on-premise Recording Connector vóór versie 3.8.42.20200905
  • Zoom on-premise Virtual Room Connector vóór versie 4.4.6620.20201110
  • Zoom on-premise Virtual Room Connector Load Balancer vóór versie 2.5.5495.20210326

Bron: Gemeld door Egor Dimitrenko van Positive Technologies

ZSB-21009 09/30/2021 Lokale escalatie van bevoegdheden van macOS Outlook Plugin-installatieprogramma Kritisch CVE-2021-34413

Ernstniveau: Kritisch

CVSS-score: 2.8

CVSS-vectorstring: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N

Beschrijving: Alle versies van de Zoom Plugin for Microsoft Outlook voor macOS vóór 5.3.52553.0918 bevatten een Time-of-check Time-of-use (TOC/TOU)-kwetsbaarheid tijdens het installatieproces van de plug-in. Hierdoor kan een standaard gebruiker zijn eigen schadelijke toepassing schrijven naar de map met plug-ins, waardoor de schadelijke toepassing met bevoegdheden kan worden uitgevoerd.

Getroffen producten:

  • Alle versies van de Zoom Plugin for Microsoft Outlook voor macOS vóór 5.3.52553.0918

Bron: Gemeld door het Lockheed Martin Red Team

ZSB-21008 09/30/2021 Lokale escalatie van bevoegdheden van Zoom voor Windows-installatieprogramma Kritisch CVE-2021-34412

Ernstniveau: Kritisch

CVSS-score: 4.4

CVSS-vectorstring: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Beschrijving: Tijdens het installatieproces voor alle versies van de Zoom Client for Meetings voor Windows vóór 5.4.0 is het mogelijk om Internet Explorer te starten. Als het installatieprogramma werd gestart met verhoogde bevoegdheden, zoals door SCCM, kan dit leiden tot een lokale escalatie van bevoegdheden.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings voor Windows vóór versie 5.4.0

Bron: Gemeld door het Lockheed Martin Red Team

ZSB-21007 09/30/2021 Lokale escalatie bevoegdheden installatieprogramma Zoom Rooms Kritisch CVE-2021-34411

Ernstniveau: Kritisch

CVSS-score: 4.4

CVSS-vectorstring: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Beschrijving: Tijdens het installatieproces voor Zoom Rooms for Conference Room voor Windows vóór versie 5.3.0 is het mogelijk om Internet Explorer met verhoogde bevoegdheden te starten. Als het installatieprogramma werd gestart met verhoogde bevoegdheden, zoals door SCCM, kan dit leiden tot een lokale escalatie van bevoegdheden.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Rooms for Conference Room voor Windows vóór versie 5.3.0
  • Zoom Rooms for Conference vóór versie 5.1.0

Bron: Gemeld door het Lockheed Martin Red Team

ZSB-21004 09/30/2021 Zoom MSI-installatieprogramma verhoogd schrijven met behulp van een knooppunt Kritisch CVE-2021-34408

Ernstniveau: Kritisch

CVSS-score: 7.0

CVSS-vectorstring: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Beschrijving: Een door de gebruiker beschrijfbaar gemaakte directory tijdens de installatie van de Zoom Client for Meetings voor Windows vóór versie 5.3.2, kan worden omgeleid naar een andere locatie met behulp van een knooppunt. Hierdoor kan een aanvaller bestanden overschrijven die een beperkte gebruiker anders niet zou kunnen wijzigen.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings voor Windows vóór versie 5.3.2

Bron: Gemeld door het Lockheed Martin Red Team

ZSB-21003 09/30/2021 Omzeiling digitale handtekening Windows Zoom-installatieprogramma Kritisch CVE-2021-33907

Ernstniveau: Kritisch

CVSS-score: 7.0

CVSS-vectorstring: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H/MPR:N/MUI:R/MS:U/MC:H/MI:H/MA:H

Beschrijving: De Zoom-client voor vergaderingen voor Windows in alle versies vóór 5.3.0 kan de certificaatgegevens die worden gebruikt om .msi bestanden te ondertekenen bij het uitvoeren van een update van de client, niet correct valideren. Dit kan leiden tot uitvoering van externe code in een context met verhoogde bevoegdheden.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Alle versies van de Zoom Client for Meetings voor Windows vóór versie 5.3.0

Bron: Gemeld door het Lockheed Martin Red Team

ZSB-21002 08/13/2021 Een heap-overschrijding van statische buffer ongecontroleerd schrijven vanuit XMPP-bericht Kritisch CVE-2021-30480

Ernstniveau: Kritisch

CVSS-score: 8.1

CVSS-vectorstring: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H

Beschrijving: Er bestaat een overschrijding van de bufferlimiet op basis van heap in alle desktopversies van de Zoom Client for Meetings vóór versie 5.6.3. Deze bevinding werd gemeld aan Zoom als onderdeel van 2021 Pwn20wn Vancouver. De aanvalsketen die tijdens Pwn20wn werd aangetoond, werd in een verandering aan serverzijde gemitigeerd in de infrastructuur van Zoom op 2021-04-09.

In combinatie met twee andere problemen die tijdens Pwn20wn zijn gemeld - onjuiste URL-validatie bij het verzenden van een XMPP-bericht om toegang te krijgen tot een URL van de Zoom Marketplace en onjuiste URL-validatie bij het weergeven van een GIPHY-afbeelding - kan een kwaadwillige gebruiker externe code uitvoeren op de computer van een doelwit.
Het doelwit moet eerder een verbindingsverzoek van de kwaadwillige gebruiker accepteren of zich in een chat met meerdere gebruikers met de kwaadwillige gebruiker bevinden om deze aanval te laten slagen. De aanvalsketen die in Pwn20wn wordt gedemonstreerd, kan zeer zichtbaar zijn voor doelen, waardoor meerdere clientmeldingen plaatsvinden.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Alle desktopversies van de Zoom Client for Meetings vóór 5.6.3

Bron: Gemeld door Daan Keuper en Thijs Alkemade van Computest via het Zero Day Initiative

ZSB-21001 03/26/2021 Functionaliteit voor scherm delen van toepassingsvensters Kritisch CVE-2021-28133

Ernstniveau: Kritisch

CVSS-score: 5.7

CVSS-vectorstring: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

Beschrijving: Een kwetsbaarheid beïnvloedde de Zoom Windows- en Linux Clients voor het delen van schermen bij het delen van afzonderlijke toepassingsvensters, waarin scherminhoud van apps die niet expliciet worden gedeeld door de gebruikers van het delen van het scherm, gedurende een kort moment door andere deelnemers aan de vergadering kan worden gezien als de "deler" een ander venster minimaliseert, maximaliseert of sluit.

Zoom heeft verschillende nieuwe beveiligingsbeperkingen geïntroduceerd in Zoom Windows Client versie 5.6 die de kans verkleinen dat dit probleem zich voor Windows-gebruikers voordoet. We blijven werken aan aanvullende maatregelen om dit probleem op alle betrokken platforms op te lossen.

Zoom heeft het probleem ook opgelost voor Ubuntu-gebruikers op 1 maart 2021 in Zoom Linux Client versie 5.5.4. Gebruikers kunnen updates toepassen of de nieuwste Zoom-software met alle actuele beveiligingsupdates downloaden van https://zoom.us/download.

Getroffen producten:

  • Alle Windows Zoom Client-versies
  • Linux Zoom Client-versies vóór 5.5.4 op Ubuntu
  • Alle Linux Client-versies op andere ondersteunde distributies

Bron: Ontdekt door Michael Stramez en Matthias Deeg.

ZSB-20002 08/14/2020 Windows DLL in de Zoom Sharing Service Kritisch CVE-2020-9767

Ernstniveau: Kritisch

CVSS-score: 7.8

CVSS-vectorstring: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Beschrijving: Door een kwetsbaarheid met betrekking tot het laden van DLL's (Dynamic-Link Library) in de Zoom Sharing-dienst kan een lokale Windows-gebruiker bevoegdheden escaleren naar die van de NT AUTHORITY/SYSTEM-gebruiker.

De kwetsbaarheid is te wijten aan onvoldoende handtekeningcontroles van dynamisch geladen DLL's bij het laden van een uitvoerbaar bestand met handtekening. Een aanvaller kan misbruik maken van deze kwetsbaarheid door een schadelijke DLL in een uitvoerbaar bestand van Zoom met handtekening te injecteren en deze te gebruiken om processen met verhoogde machtigingen te starten.

Zoom heeft dit probleem opgelost in de 5.0.4-clientrelease. Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Windows-installatieprogramma (ZoomInstallerFull.msi) versies vóór 5.0.4

Bron: Connor Scott van Context Information Security

ZSB-20001 05/04/2020 Zoom IT-installatieprogramma voor Windows Kritisch CVE-2020-11443

Ernstniveau: Kritisch

CVSS-score: Basis: 8.4

CVSS-vectorstring: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Beschrijving: Een kwetsbaarheid in de manier waarop het Zoom Windows-installatieprogramma knooppunten verwerkt bij het verwijderen van bestanden. Dit kan een lokale Windows-gebruiker ertoe brengen bestanden te verwijderen die normaal niet door de gebruiker kunnen worden verwijderd.

De kwetsbaarheid is te wijten aan onvoldoende controle op knooppunten in de map waaruit het installatieprogramma bestanden verwijdert, die beschrijfbaar is voor standaard gebruikers. Een kwaadwillige lokale gebruiker kan misbruik maken van deze kwetsbaarheid door in de betrokken map een knooppunt te maken dat verwijst naar beveiligde systeembestanden of andere bestanden waarvoor de gebruiker geen machtigingen heeft. Bij het uitvoeren van het Zoom Windows-installatieprogramma met verhoogde machtigingen, zoals het geval is wanneer het wordt uitgevoerd via beheerde implementatiesoftware, worden die bestanden van het systeem verwijderd.

Zoom heeft dit probleem opgelost in de 4.6.10-clientrelease. Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Windows installer (ZoomInstallerFull.msi) versies ouder dan 4.6.10

Bron: Met dank aan het Lockheed Martin Red Team.

ZSB-19003 07/12/2019 ZoomOpener daemon Kritisch CVE-2019-13567

Ernstniveau: Kritisch

CVSS-score: Basis: 7.5

CVSS-vectorstring: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Beschrijving: Door een kwetsbaarheid in de Zoom macOS-client kan een aanvaller schadelijke software downloaden naar het apparaat van een slachtoffer.

De kwetsbaarheid is te wijten aan onjuiste inputvalidatie en validatie van gedownloade software in de ZoomOpener-helpertoepassing. Een aanvaller kan de kwetsbaarheid misbruiken om het apparaat van een slachtoffer te vragen namens de aanvaller bestanden te downloaden. Een succesvolle exploit is alleen mogelijk als het slachtoffer eerder de Zoom Client heeft verwijderd.

Zoom heeft dit probleem opgelost in de clientrelease 4.4.52595.0425. Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom macOS-client vóór versie 4.4.52595.0425 en na versie 4.1.27507.0627

Bron: Onbekend.

ZSB-19002 07/09/2019 Standaard video-instelling Kritisch CVE-2019-13450

Ernstniveau: Kritisch

CVSS-score: Basis: 3.1

CVSS-vectorstring: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

Beschrijving: Door een kwetsbaarheid in de macOS Zoom- en RingCentral-clients kan een externe, niet-geverifieerde aanvaller een gebruiker dwingen deel te nemen aan een videogesprek met ingeschakelde videocamera.

Het beveiligingslek is te wijten aan onvoldoende verificatiecontroles om te controleren welke systemen kunnen communiceren met de lokale Zoom-webserver die op poort 19421 wordt uitgevoerd. Een aanvaller kan misbruik maken van deze kwetsbaarheid door een schadelijke website te maken die ervoor zorgt dat de Zoom-client automatisch deelneemt aan een vergadering die door de aanvaller is ingesteld.

Zoom implementeerde een nieuw dialoogvenster Videovoorbeeld dat aan de gebruiker wordt getoond voordat deze deelneemt aan een vergadering in Clientversie 4.4.5, gepubliceerd op 14 juli 2019. In dit dialoogvenster kan de gebruiker deelnemen aan de vergadering met of zonder ingeschakelde video en moet de gebruiker het gewenste standaardgedrag voor video instellen. Zoom dringt er bij klanten op aan om de nieuwste Zoom Client-release te installeren die beschikbaar is op https://zoom.us/download.

Getroffen producten:

  • Zoom macOS-client vóór versie 4.4.5
  • RingCentral macOS-client vóór versie 4.4.5

Bron: Ontdekt door Jonathan Leitschuh.

ZSB-19001 07/09/2019 Denial of service-aanval - macOS Kritisch CVE-2019-13449

Ernstniveau: Kritisch

CVSS-score: Basis: 3.1

CVSS-vectorstring: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Beschrijving: Door een kwetsbaarheid in de macOS Zoom-client kan een externe, niet-geverifieerde aanvaller een denial-of-service-toestand activeren op het systeem van een slachtoffer.

Het beveiligingslek is te wijten aan onvoldoende verificatiecontroles om te controleren welke systemen kunnen communiceren met de lokale Zoom-webserver die op poort 19421 wordt uitgevoerd. Een aanvaller kan misbruik maken van dit beveiligingslek door een schadelijke website te maken die ervoor zorgt dat de Zoom-client herhaaldelijk probeert deel te nemen aan een vergadering met een ongeldige vergaderings-id. De oneindige lus zorgt ervoor dat de Zoom-client niet meer werkt en dit kan van invloed zijn op de prestaties van het systeem waarop het wordt uitgevoerd.

Zoom heeft op 28 april 2019 versie 4.4.2-hotfix van de macOS-client uitgebracht om het probleem op te lossen. Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom macOS-client vóór versie 4.4.5
  • RingCentral macOS-client vóór versie 4.4.5

Bron: Ontdekt door Jonathan Leitschuh.

No results found

Vul je individuele e-mailadres in om meldingen te ontvangen van toekomstige Zoom-veiligheidsbulletins. (Opmerking: e-mailaliassen ontvangen deze meldingen niet.)