Trust Center Security, Privacy, Blogs Additional Resources

Veiligheidsbulletins

Alle ernstniveaus
  • Alle ernstniveaus
  • Kritisch
  • Hoog
  • Gemiddeld
  • Laag
Alle CVE
  • Alle CVE
  • CVE-2023-39209
  • CVE-2023-39214
  • CVE-2023-39213
  • CVE-2023-39212
  • CVE-2023-39211
  • CVE-2023-39210
  • CVE-2023-39218
  • CVE-2023-39217
  • CVE-2023-39216
  • CVE-2023-36535
  • CVE-2023-36534
  • CVE-2023-36533
  • CVE-2023-36532
  • CVE-2023-36541
  • CVE-2023-36540
  • CVE-2023-36538
  • CVE-2023-36537
  • CVE-2023-36536
  • CVE-2023-34119
  • CVE-2023-34118
  • CVE-2023-34117
  • CVE-2023-34116
  • CVE-2023-36539
  • CVE-2023-34115
  • CVE-2023-34114
  • CVE-2023-34113
  • CVE-2023-34122
  • CVE-2023-34121
  • CVE-2023-34120
  • CVE-2023-28603
  • CVE-2023-28602
  • CVE-2023-28601
  • CVE-2023-28600
  • CVE-2023-28599
  • CVE-2023-28598
  • CVE-2023-28597
  • CVE-2023-28596
  • CVE-2023-22883
  • CVE-2023-22881
    CVE-2023-22882
  • CVE-2023-22880
  • CVE-2022-36930
  • CVE-2022-36929
  • CVE-2022-36928
  • CVE-2022-36926
    CVE-2022-36927
  • CVE-2022-36925
  • CVE-2022-36924
  • CVE-2022-28768
  • CVE-2022-28766
  • CVE-2022-28764
  • CVE-2022-28763
  • CVE-2022-28762
  • CVE-2022-28761
  • CVE-2022-28760
  • CVE-2022-28758
    CVE-2022-28759
  • CVE-2022-28757
  • CVE-2022-28756
  • CVE-2022-28751
  • CVE-2022-28753
    CVE-2022-28754
  • CVE-2022-28755
  • CVE-2022-28750
  • CVE-2022-28749
  • CVE-2022-22788
  • CVE-2022-22787
  • CVE-2022-22786
  • CVE-2022-22785
  • CVE-2022-22784
  • CVE-2022-22783
  • CVE-2022-22782
  • CVE-2022-22781
  • CVE-2022-22780
  • CVE-2022-22779
  • CVE-2021-34426
  • CVE-2021-34425
  • CVE-2021-34424
  • CVE-2021-34423
  • CVE-2021-34422
  • CVE-2021-34421
  • CVE-2021-34420
  • CVE-2021-34419
  • CVE-2021-34418
  • CVE-2021-34417
  • CVE-2021-34416
  • CVE-2021-34415
  • CVE-2021-34414
  • CVE-2021-34413
  • CVE-2021-34412
  • CVE-2021-34411
  • CVE-2021-34408
  • CVE-2021-33907
  • CVE-2021-30480
  • CVE-2021-28133
  • CVE-2020-9767
  • CVE-2020-11443
  • CVE-2019-13567
  • CVE-2019-13450
  • CVE-2019-13449
Search

Veiligheidsbulletins

Zoom geeft individuele klanten geen begeleiding om met de gevolgen van kwetsbaarheden om te gaan naar aanleiding van een Zoom-veiligheidsbulletin en verstrekt individuele klanten geen extra details over kwetsbaarheden. We raden gebruikers aan om te updaten naar de nieuwste versie van hun Zoom-software, zodat ze beschikken over de meest recente oplossingen en beveiligingsverbeteringen.

ZSB Datum Titel Ernstniveau CVE (indien van toepassing)
ZSB-23041 08/08/2023 Zoom-desktopclient voor Windows - Onjuiste inputvalidatie Gemiddeld CVE-2023-39209

Ernstniveau: Gemiddeld

CVSS-score: 5.9

CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Beschrijving: Als gevolg van een onjuiste inputvalidatie in de Zoom-desktopclient voor Windows vóór versie 5.15.5 kan een geverifieerde gebruiker ervoor zorgen dat informatie bekend wordt gemaakt via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.15.5

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23039 08/08/2023 SDK's voor Zoom-client - Blootstelling van gevoelige informatie Hoog CVE-2023-39214

Ernstniveau: Hoog

CVSS-score: 7.6

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H

Beschrijving: Als gevolg van blootstelling van gevoelige informatie in de SDK's voor de Zoom-client vóór versie 5.15.5 kan een geverifieerde gebruiker zorgen voor een denial of service via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-client SDK voor Windows vóór versie 5.15.5
  • Zoom-client SDK voor iOS vóór versie 5.15.5
  • Zoom-client SDK voor Android vóór versie 5.15.5
  • Zoom-client SDK voor macOS vóór versie 5.15.5
  • Zoom-client SDK voor Linux vóór versie 5.15.5

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23038 08/08/2023 Zoom-desktopclient voor Windows en Zoom VDI-client - Onjuiste neutralisatie van speciale elementen Kritisch CVE-2023-39213

Ernstniveau: Kritisch

CVSS-score: 9.6

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Beschrijving: Als gevolg van een onjuiste neutralisatie van speciale elementen in de Zoom-desktopclient voor Windows vóór versie 5.15.2 kan een niet-geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.15.2
  • Zoom VDI-client vóór versie 5.15.2

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23037 08/08/2023 Zoom Rooms voor Windows - Niet-vertrouwd zoekpad Hoog CVE-2023-39212

Ernstniveau: Hoog

CVSS-score: 7.9

CVSS-vectorstring: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

Beschrijving: Als gevolg van een niet-vertrouwd zoekpad in Zoom Rooms voor Windows vóór versie 5.15.5 kan een geverifieerde gebruiker zorgen voor een denial of service via lokale toegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Rooms voor Windows vóór versie 5.15.5

Bron: Gemeld door sim0nsecurity.

ZSB-23036 08/08/2023 Zoom-desktopclient voor Windows en Zoom Rooms voor Windows - Onjuist beheer van bevoegdheden Hoog CVE-2023-39211

Ernstniveau: Hoog

CVSS-score: 8.8

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschrijving: Als gevolg van onjuist beheer van bevoegdheden in de Zoom-desktopclient voor Windows en Zoom Rooms voor Windows vóór versie 5.15.5 kan een geverifieerde gebruiker ervoor zorgen dat informatie bekend wordt gemaakt via lokale toegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.15.5
  • Zoom Rooms voor Windows vóór versie 5.15.5

Bron: Gemeld door sim0nsecurity.

ZSB-23035 08/08/2023 Zoom-client SDK voor Windows - Niet-versleutelde tekstopslag van gevoelige informatie Gemiddeld CVE-2023-39210

Ernstniveau: Gemiddeld

CVSS-score: 5.5

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Beschrijving: Als gevolg van niet-versleutelde tekstopslag van gevoelige informatie in de Zoom-client SDK voor Windows vóór versie 5.15.0 kan een geverifieerde gebruiker ervoor zorgen dat informatie bekend wordt gemaakt via lokale toegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-client SDK voor Windows vóór versie 5.15.0

Bron: Gemeld door sim0nsecurity.

ZSB-23034 08/08/2023 Zoom-clients - Afdwinging aan clientzijde van beveiliging aan serverzijde Gemiddeld CVE-2023-39218

Ernstniveau: Gemiddeld

CVSS-score: 6.5

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

Beschrijving: Als gevolg van de afdwinging aan clientzijde van beveiliging aan serverzijde in Zoom-clients vóór versie 5.14.10 kan een bevoegde gebruiker ervoor zorgen dat informatie bekend wordt gemaakt via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.14.10
  • Zoom-desktopclient voor macOS vóór versie 5.14.10
  • Zoom-desktopclient voor Linux vóór versie 5.14.10
  • Zoom VDI-host en -invoegtoepassing vóór versie 5.14.10
  • Zoom mobiele app voor Android vóór versie 5.14.10
  • Zoom mobiele app voor iOS vóór versie 5.14.10
  • Zoom Rooms voor iPad vóór versie 5.14.10
  • Zoom Rooms voor Android vóór versie 5.14.10
  • Zoom Rooms voor Windows vóór versie 5.14.10
  • Zoom Rooms voor macOS vóór versie 5.14.10

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23033 08/08/2023 Zoom SDK’s - Onjuiste inputvalidatie Gemiddeld CVE-2023-39217

Ernstniveau: Gemiddeld

CVSS-score: 5.3

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Beschrijving: Als gevolg van onjuiste inputvalidatie in de Zoom SDK's vóór versie 5.14.10 kan een niet-geverifieerde gebruiker zorgen voor een denial of service via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-client SDK voor Windows vóór versie 5.14.10
  • Zoom-client SDK voor iOS vóór versie 5.14.10
  • Zoom-client SDK voor Android vóór versie 5.14.10
  • Zoom-client SDK voor macOS vóór versie 5.14.10
  • Zoom-client SDK voor Linux vóór versie 5.14.10

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23032 08/08/2023 Zoom-desktopclient voor Windows - Onjuiste inputvalidatie Kritiek CVE-2023-39216

Ernstniveau: Kritiek

CVSS-score: 9.6

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Beschrijving: Als gevolg van onjuiste inputvalidatie in de Zoom-desktopclient voor Windows vóór versie 5.14.7 kan een niet-geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.14.7

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23031 08/08/2023 Zoom-clients - Afdwinging aan clientzijde van beveiliging aan serverzijde Hoog CVE-2023-36535

Ernstniveau: Hoog

CVSS-score: 7.1

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L

Beschrijving: Als gevolg van de afdwinging aan clientzijde van beveiliging aan serverzijde in Zoom-clients vóór versie 5.14.10 kan een geverifieerde gebruiker ervoor zorgen dat informatie bekend wordt gemaakt via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-clients voor Windows vóór versie 5.14.10
  • Zoom-desktopclient voor macOS vóór versie 5.14.10
  • Zoom-desktopclient voor Linux vóór versie 5.14.10
  • Zoom VDI-host en -invoegtoepassing vóór versie 5.14.10
  • Zoom mobiele app voor Android vóór versie 5.14.10
  • Zoom mobiele app voor iOS vóór versie 5.14.10
  • Zoom Rooms voor iPad vóór versie 5.14.10
  • Zoom Rooms voor Android vóór versie 5.14.10
  • Zoom Rooms voor Windows vóór versie 5.14.10
  • Zoom Rooms voor macOS vóór versie 5.14.10

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23030 08/08/2023 Zoom-desktopclient voor Windows - Path traversal Kritiek CVE-2023-36534

Ernstniveau: Kritiek

CVSS-score: 9.3

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H

Beschrijving: Als gevolg van path traversal in de Zoom-desktopclient voor Windows vóór versie 5.14.7 kan een niet-geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.14.7

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23029 08/08/2023 Zoom SDK’s - Ongecontroleerd resourceverbruik Hoog CVE-2023-36533

Ernstniveau: Hoog

CVSS-score: 7.1

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H

Beschrijving: Als gevolg van ongecontroleerd resourceverbruik in de Zoom SDK's vóór versie 5.14.7 kan een niet-geverifieerde gebruiker zorgen voor een denial of service via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-client SDK voor Windows vóór versie 5.14.7
  • Zoom-client SDK voor iOS vóór versie 5.14.7
  • Zoom-client SDK voor Android vóór versie 5.14.7
  • Zoom-client SDK voor macOS vóór versie 5.14.7
  • Zoom-client SDK voor Linux vóór versie 5.14.7

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23028 08/08/2023 Zoom Clients - Overschrijding van bufferlimiet Gemiddeld CVE-2023-36532

Ernstniveau: Gemiddeld

CVSS-score: 5.9

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Beschrijving: Als gevolg van de overschrijding van de bufferlimiet in Zoom-clients vóór versie 5.14.5 kan een niet-geverifieerde gebruiker zorgen voor een denial of service via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.14.5
  • Zoom-desktopclient voor macOS vóór versie 5.14.5
  • Zoom-desktopclient voor Linux vóór versie 5.14.5
  • Zoom VDI-host en -invoegtoepassing vóór versie 5.14.5
  • Zoom mobiele app voor Android vóór versie 5.14.5
  • Zoom mobiele app voor iOS vóór versie 5.14.5
  • Zoom Rooms voor iPad vóór versie 5.14.5
  • Zoom Rooms voor Android vóór versie 5.14.5
  • Zoom Rooms voor Windows vóór versie 5.14.5
  • Zoom Rooms voor macOS vóór versie 5.14.5

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23027 08/08/2023 Zoom-desktopclient voor Windows - Onvoldoende verificatie van de authenticiteit van gegevens Hoog CVE-2023-36541

Ernstniveau: Hoog

CVSS-score: 8

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Beschrijving: Als gevolg van onvoldoende verificatie van de authenticiteit van gegevens in de Zoom-desktopclient voor Windows vóór versie 5.14.5 kan een geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via netwerktoegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.14.5

Bron: Gemeld door sim0nsecurity.

ZSB-23026 08/08/2023 Zoom-desktopclient voor Windows - Niet-vertrouwd zoekpad Hoog CVE-2023-36540

Ernstniveau: Hoog

CVSS-score: 7.3

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Beschrijving: Als gevolg van een niet-vertrouwd zoekpad in het installatieprogramma voor de Zoom-desktopclient voor Windows vóór versie 5.14.5 kan een geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via lokale toegang.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.14.5

Bron: Gemeld door sim0nsecurity.

ZSB-23024 07/11/2023 Ongeschikte toegangscontrole Hoog CVE-2023-36538

Ernstniveau: Hoog

CVSS-score: 8.4

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Beschrijving: Onjuiste toegangscontrole in Zoom Rooms voor Windows vóór versie 5.15.0 kan een geverifieerde gebruiker in staat stellen om een escalatie van bevoegdheden via lokale toegang mogelijk te maken.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Rooms voor Windows vóór versie 5.15.0

Bron: Gemeld door sim0nsecurity.

ZSB-23023 07/11/2023 Onjuist beheer van bevoegdheden Hoog CVE-2023-36537

Ernstniveau: Hoog

CVSS-score: 7.3

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Beschrijving: Onjuist beheer van bevoegdheden in Zoom Rooms voor Windows vóór versie 5.15.0 kan een geverifieerde gebruiker in staat stellen om een escalatie van bevoegdheden via lokale toegang mogelijk te maken.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Rooms voor Windows vóór versie 5.14.5

Bron: Gemeld door sim0nsecurity.

ZSB-23022 07/11/2023 Niet-vertrouwd zoekpad Hoog CVE-2023-36536

Ernstniveau: Hoog

CVSS-score: 8.2

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Beschrijving: Niet-vertrouwd zoekpad in het installatieprogramma voor Zoom Rooms voor Windows vóór versie 5.15.0 kan een geverifieerde gebruiker in staat stellen om een escalatie van bevoegdheden via lokale toegang mogelijk te maken.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Rooms voor Windows vóór versie 5.15.0

Bron: Gemeld door sim0nsecurity.

ZSB-23021 07/11/2023 Onveilig tijdelijk bestand Hoog CVE-2023-34119

Ernstniveau: Hoog

CVSS-score: 8.2

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Beschrijving: Onveilig tijdelijk bestand in het installatieprogramma voor Zoom Rooms voor Windows vóór versie 5.15.0 kan een geverifieerde gebruiker in staat stellen om een escalatie van bevoegdheden via lokale toegang mogelijk te maken.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Rooms voor Windows vóór versie 5.15.0

Bron: Gemeld door sim0nsecurity.

ZSB-23020 07/11/2023 Onjuist beheer van bevoegdheden Hoog CVE-2023-34118

Ernstniveau: Hoog

CVSS-score: 7.3

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Beschrijving: Onjuist beheer van bevoegdheden in Zoom Rooms voor Windows vóór versie 5.15.0 kan een geverifieerde gebruiker in staat stellen om een escalatie van bevoegdheden via lokale toegang mogelijk te maken.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Rooms voor Windows vóór versie 5.14.5

Bron: Gemeld door sim0nsecurity.

ZSB-23019 07/11/2023 Relatief Path Traversal Laag CVE-2023-34117

Ernstniveau: Laag

CVSS-score: 3.3

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

Beschrijving: Relatief path traversal in Zoom-client SDK vóór versie 5.15.0 kan een niet geautoriseerde gebruiker in staat stellen om openbaarmaking van informatie via lokale toegang mogelijk te maken.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-client SDK vóór versie 5.15.0

Bron: Gemeld door Dimitrios Valsamaras van Microsoft.

ZSB-23018 07/11/2023 Onjuiste inputvalidatie Hoog CVE-2023-34116

Ernstniveau: Hoog

CVSS-score: 8.2

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:H

Beschrijving: Onjuiste inputvalidatie in de Zoom-desktopclient voor Windows vóór versie 5.15.0 kan een niet geautoriseerde gebruiker in staat stellen om een escalatie van bevoegdheden via netwerktoegang mogelijk te maken.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom-desktopclient voor Windows vóór versie 5.15.0.

Bron: Gemeld door sim0nsecurity.

ZSB-23025 06/29/2023 Blootstelling van gevoelige informatie Gemiddeld CVE-2023-36539

Ernstniveau: Gemiddeld

CVSS-score: 5.3

CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

Beschrijving: Blootstelling van informatie die versleuteld hoort te zijn door enkele Zoom-clients kan leiden tot openbaarmaking van gevoelige informatie.

Zoom versleutelt chatberichten tijdens vergadering met behulp van een sleutel per vergadering en verzendt deze versleutelde gegevens van het ene naar het andere gebruikersapparaat met TLS-versleuteling. In de getroffen producten werd ook een kopie van elk chatbericht tijdens vergadering versleuteld verzonden, alleen met TLS en niet met de sleutel per vergadering, inclusief berichten die werden verzonden tijdens end-to-endversleutelde (E2EE) vergaderingen.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download. Daarnaast kunnen ze gebruik van chatten tijdens vergadering vermijden wanneer ze gebruikmaken van de getroffen versies.

Getroffen producten:

  • Zoom-desktopclient voor Windows 5.15.0 en 5.15.1
  • Zoom-desktopclient voor macOS, alleen versie 5.15.0
  • Zoom-desktopclient voor Linux, alleen versie 5.15.0
  • Zoom mobiele app voor iOS, alleen versie 5.15.0
  • Zoom mobiele app voor Android, alleen versie 5.15.0
  • Zoom Rooms voor Windows, alleen versie 5.15.0
  • Zoom Rooms voor macOS, alleen versie 5.15.0
  • Zoom Rooms voor iPad, alleen versie 5.15.0
  • Zoom Phone Appliance, alleen versie 5.15.0
  • Zoom Meeting SDK voor Android, alleen versie 5.15.0
  • Zoom Meeting SDK voor iOS, alleen versie 5.15.0
  • Zoom Meeting SDK voor macOS, alleen versie 5.15.0
  • Zoom Meeting SDK voor Windows, alleen versie 5.15.1
  • Zoom Video SDK voor Windows, alleen versie 1.8.0
  • Zoom Video SDK voor macOS, alleen versie 1.8.0
  • Zoom Video SDK voor Android, alleen versie 1.8.0
  • Zoom Video SDK voor iOS, alleen versie 1.8.0
  • Zoom Video SDK voor Linux, alleen versie 1.8.0

Bron: Gemeld door het Zoom Offensive Security Team.

ZSB-23017 06/13/2023 Kopiëren van buffer zonder de grootte van input te controleren Gemiddeld CVE-2023-34115

Ernstniveau: Gemiddeld

CVSS-score: 4.0

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Beschrijving: Het kopiëren van de buffer zonder de grootte van input te controleren in de Zoom Meeting SDK vóór 5.13.0 kan tot gevolg hebben dat een geverifieerde gebruiker een denial-of-service mogelijk maakt via lokale toegang. Dit probleem kan tot gevolg hebben dat de Zoom Meeting SDK crasht en opnieuw moet worden opgestart.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Meeting SDK vóór 5.13.0.

Bron: Gemeld door Eugene Lim

ZSB-23016 06/13/2023 Blootstelling van resource aan verkeerde omgeving Gemiddeld CVE-2023-34114

Ernstniveau: Gemiddeld

CVSS-score: 4.3

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N

Beschrijving: Blootstelling van resource aan een verkeerde omgeving in Zoom voor Windows- en Zoom voor macOS-clients vóór 5.14.10 kan een geverifieerde gebruiker in staat stellen om de bekendmaking van informatie via netwerktoegang mogelijk te maken.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom voor Windows vóór versie 5.14.10
  • Zoom voor macOS vóór versie 5.14.10

Bron: Gemeld door Siddhi Katariya (chikorita)

ZSB-23015 06/13/2023 Onvoldoende verificatie van de authenticiteit van gegevens Hoog CVE-2023-34113

Ernstniveau: Hoog

CVSS-score: 8

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Beschrijving: Onvoldoende verificatie van de authenticiteit van gegevens in Zoom voor Windows-clients vóór 5.14.0 kan een geverifieerde gebruiker in staat stellen om een escalatie van bevoegdheden via netwerktoegang mogelijk te maken.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom voor Windows-clients vóór versie 5.14.0

Bron: Gemeld door sim0nsecurity

ZSB-23014 06/13/2023 Onjuiste inputvalidatie Hoog CVE-2023-34122

Ernstniveau: Hoog

CVSS-score: 7.3

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Beschrijving: Onjuiste inputvalidatie in het installatieprogramma van Zoom voor Windows-clients vóór 5.14.0 kan een geverifieerde gebruiker in staat stellen om een escalatie van bevoegdheden via lokale toegang mogelijk te maken.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom voor Windows-clients vóór versie 5.14.0

Bron: Gemeld door sim0nsecurity

ZSB-23013 06/13/2023 Onjuiste inputvalidatie Gemiddeld CVE-2023-34121

Ernstniveau: Gemiddeld

CVSS-score: 4.9

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N

Beschrijving: Onjuiste inputvalidatie in de Zoom voor Windows-, Zoom Rooms-, Zoom VDI Windows Meeting-clients vóór 5.14.0 kan een geverifieerde gebruiker in staat stellen om een escalatie van bevoegdheden via netwerktoegang mogelijk te maken.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom voor Windows-clients vóór versie 5.14.0
  • Zoom Rooms-client voor Windows vóór versie 5.14.0
  • Zoom VDI Windows Meeting-clients vóór versie 5.14.0

Bron: Gemeld door Mohit Rawat - ASPIA InfoTech

ZSB-23012 06/13/2023 Onjuist beheer van bevoegdheden Hoog CVE-2023-34120

Ernstniveau: Hoog

CVSS-score: 8.7

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L

Beschrijving: Onjuist beheer van bevoegdheden in Zoom voor Windows-, Zoom Rooms voor Windows- en Zoom VDI voor Windows-clients vóór 5.14.0 kan een geverifieerde gebruiker in staat stellen om een escalatie van bevoegdheden via lokale toegang mogelijk te maken. Gebruiker kunnen mogelijk gebruikmaken van systeembevoegdheden van hoger niveau die door de Zoom-client worden onderhouden om processen met geëscaleerde bevoegdheden te genereren.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom voor Windows-clients vóór versie 5.14.0
  • Zoom Rooms-client voor Windows vóór versie 5.14.0
  • Zoom VDI Windows Meeting-clients vóór versie 5.14.0

Bron: Gemeld door sim0nsecurity

ZSB-23011 06/13/2023 Ongeschikte toegangscontrole in installatieprogramma van Zoom VDI-client Hoog CVE-2023-28603

Ernstniveau: Hoog

CVSS-score: 7.7

CVSS-vectorstring: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:L

Beschrijving: Het installatieprogramma van de Zoom VDI-client vóór 5.14.0 bevat een kwetsbaarheid met betrekking tot ongeschikte toegangscontrole. Een kwaadwillende gebruiker kan mogelijk lokale bestanden verwijderen zonder over de juiste bevoegdheden te beschikken.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom VDI Windows Meeting-installatieprogramma vóór versie 5.14.0

Bron: Gemeld door sim0nsecurity

ZSB-23010 06/13/2023 Onjuiste verificatie van cryptografische handtekening in Zoom-clients Laag CVE-2023-28602

Ernstniveau: Laag

CVSS-score: 2.8

CVSS-vectorstring: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N

Beschrijving: Zoom voor Windows-clients vóór 5.13.5 bevatten een kwetsbaarheid met betrekking tot onjuiste verificatie van cryptografische handtekeningen. Een kwaadwillende gebruiker kan componenten van Zoom-clients mogelijk downgraden naar eerdere versies.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom voor Windows-clients vóór versie 5.13.5

Bron: Gemeld door Kirin (Pwnrin)

ZSB-23009 06/13/2023 Onjuiste beperking van bewerkingen binnen de grenzen van een geheugenbuffer in Zoom-clients Laag CVE-2023-28601

Ernstniveau: Laag

CVSS-score: 2

CVSS-vectorstring: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

Beschrijving: Zoom voor Windows-clients vóór 5.14.0 bevatten een kwetsbaarheid met betrekking tot de onjuiste beperking van bewerkingen binnen de grenzen van een geheugenbuffer. Een kwaadwillende gebruiker kan de beschermde geheugenbuffer van de Zoom-client veranderen, wat integriteitsproblemen binnen de Zoom-client kan veroorzaken.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom voor Windows-clients vóór versie 5.14.0

Bron: Gemeld door sim0nsecurity

ZSB-23008 06/13/2023 Ongeschikte toegangscontrole in Zoom-clients Gemiddeld CVE-2023-28600

Ernstniveau: Gemiddeld

CVSS-score: 6.6

CVSS-vectorstring: CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:L

Beschrijving: Zoom voor macOS-clients vóór 5.14.0 bevatten een kwetsbaarheid met betrekking tot ongeschikte toegangscontrole. Een kwaadwillende gebruiker kan mogelijk bestanden van de Zoom-client verwijderen/vervangen, wat kan leiden tot verlies van integriteit en beschikbaarheid van de Zoom-client.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom voor macOS-clients vóór versie 5.14.0

Bron: Gemeld door Koh M. Nakagawa (@tsunek0h)

ZSB-23007 06/13/2023 Kwetsbaarheid met betrekking tot HTML-injectie in Zoom-clients Gemiddeld CVE-2023-28599

Ernstniveau: Gemiddeld

CVSS-score: 4.2

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

Beschrijving: Zoom-clients vóór 5.13.10 bevatten een kwetsbaarheid met betrekking tot HTML-injectie. Een kwaadwillende gebruiker kan HTML injecteren in diens weergavenaam, waardoor een slachtoffer naar een schadelijke website kan worden geleid tijdens het maken van een vergadering.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom voor Android-, iOS-, Linux-, macOS- en Windows-clients vóór versie 5.13.10

Bron: Gemeld door Mohit Rawat - ASPIA InfoTech

ZSB-23006 06/13/2023 HTML-injectie in Zoom Linux-clients Hoog CVE-2023-28598

Ernstniveau: Hoog

CVSS-score: 7.5

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Beschrijving: Zoom voor Linux-clients vóór 5.13.10 bevatten een kwetsbaarheid met betrekking tot HTML-injectie. Als een slachtoffer een chat met een kwaadwillende gebruiker start, kan dit tot gevolg hebben dat de Zoom-toepassing crasht.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom voor Linux-clients vóór versie 5.13.10

Bron: Gemeld door Antoine Roly (aroly)

ZSB-23005 03/14/2023 Verkeerde vertrouwensgrens-implementatie voor SMB in Zoom-clients [Updated 2023-04-07] Hoog CVE-2023-28597

Ernstniveau: Hoog

CVSS-score: 8.3

CVSS-vectorstring: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

Beschrijving: Zoom-clients met een versie vóór 5.13.5 bevatten een kwetsbaarheid betreffende een verkeerde vertrouwensgrens-implementatie. Als een slachtoffer een lokale opname opslaat op een SMB-locatie en deze later opent via een link op de Zoom-webportal, kan een aanvaller op een netwerk dat grenst aan de slachtofferclient een kwaadwillende SMB-server opzetten om te reageren op clientverzoeken, waardoor de client uitvoerbare bestanden uitvoert die worden gecontroleerd door de aanvaller. Hierdoor kan een aanvaller toegang krijgen tot het apparaat en de gegevens van een gebruiker en op afstand code uitvoeren.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

*Wijzigingen - 7 april 2023 - Android en iOS verwijderd uit de sectie 'Getroffen producten'

Getroffen producten:

  • Zoom (voor Linux-, macOS- en Windows-)clients vóór versie 5.13.5
  • Zoom Rooms (voor Linux-, macOS- en Windows-)clients vóór versie 5.13.5
  • Zoom VDI Windows Meeting-clients vóór versie 5.13.10

Bron: Gemeld door Zoom Offensive Security Team

ZSB-23004 03/14/2023 Lokale escalatie van bevoegdheden in Zoom voor macOS-installatieprogramma's Gemiddeld CVE-2023-28596

Ernstniveau: Gemiddeld

CVSS-score: 5.2

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L

Beschrijving: macOS-installatieprogramma's van de Zoom-client voor IT-beheerders vóór versie 5.13.5 bevatten een kwetsbaarheid met betrekking tot de lokale escalatie van bevoegdheden. Een lokale gebruiker met weinig bevoegdheden kan deze kwetsbaarheid tijdens de installatieprocedure in een aanvalsketen misbruiken om zijn/haar bevoegdheden te escaleren naar root.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • macOS-installatieprogramma's van Zoom Client for Meetings voor IT-beheerders vóór versie 5.13.5

Bron: Gemeld door Koh M. Nakagawa (tsunekoh)

ZSB-23003 03/14/2023 Lokale escalatie van bevoegdheden in Zoom voor Windows-installatieprogramma's Hoog CVE-2023-22883

Ernstniveau: Hoog

CVSS-score: 7.2

CVSS-vectorstring: CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:N/I:H/A:H

Beschrijving: Windows-installatieprogramma's van de Zoom-client voor IT-beheerders vóór versie 5.13.5 bevatten een kwetsbaarheid met betrekking tot de lokale escalatie van bevoegdheden. Een lokale gebruiker met weinig bevoegdheden kan deze kwetsbaarheid tijdens de installatieprocedure in een aanvalsketen misbruiken om zijn/haar bevoegdheden te escaleren naar de SYSTEM-gebruiker.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Windows-installatieprogramma's van Zoom Client for Meetings voor IT-beheerders vóór versie 5.13.5

Bron: Gemeld door sim0nsecurity

ZSB-23002 03/14/2023 Denial-of-service in Zoom-clients Gemiddeld CVE-2023-22881
CVE-2023-22882

Ernstniveau: Gemiddeld

CVSS-score: 6.5

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Beschrijving: Zoom-clients vóór versie 5.13.5 bevatten een kwetsbaarheid met betrekking tot STUN-parsering. Een kwaadwillige persoon kan speciaal gemaakt UDP-verkeer versturen naar een Zoom-client als doelwit, en de client op afstand laten crashen waardoor een denial-of-service wordt veroorzaakt.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom (voor Android-, iOS-, Linux-, macOS- en Windows-)clients vóór versie 5.13.5

Bron: Gemeld door Zoom Offensive Security Team

ZSB-23001 03/14/2023 Bekendmaking van informatie in Zoom voor Windows-clients Gemiddeld CVE-2023-22880

Ernstniveau: Gemiddeld

CVSS-score: 6.8

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N

Beschrijving: Zoom voor Windows-clients vóór versie 5.13.3, Zoom Rooms voor Windows-clients vóór versie 5.13.5 en Zoom VDI voor Windows-clients vóór versie 5.13.1 bevatten een kwetsbaarheid met betrekking tot de bekendmaking van informatie. Een recente update van de Microsoft Edge WebView 2 Runtime die door de betreffende Zoom-clients wordt gebruikt, verstuurde tekst naar de online spellingscontroleservice van Microsoft in plaats van naar de lokale Windows-spellingscontrole. Het updaten van Zoom herstelt deze kwetsbaarheid door de functie uit te schakelen. Het bijwerken van Microsoft Edge WebView2 Runtime naar ten minste versie 109.0.1481.0 en het opnieuw opstarten van Zoom herstelt deze fout, doordat het telemetriegedrag van Windows wordt bijgewerkt.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom voor Windows-clients vóór versie 5.13.3
  • Zoom Rooms voor Windows-clients vóór versie 5.13.3
  • Zoom VDI voor Windows-clients vóór 5.13.1

Bron: Gemeld door Zoom Security Team

ZSB-22035 01/06/2023 Lokale escalatie van bevoegdheden in Zoom Rooms voor Windows-installatieprogramma's Hoog CVE-2022-36930

Ernstniveau: Hoog

CVSS-score: 8.2

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Beschrijving: Zoom Rooms voor Windows-installatieprogramma's vóór versie 5.13.0 bevatten een kwetsbaarheid met betrekking tot de lokale escalatie van bevoegdheden. Een lokale gebruiker met weinig bevoegdheden kan deze kwetsbaarheid in een aanvalsketen misbruiken om zijn/haar bevoegdheden te escaleren naar de SYSTEM-gebruiker.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Rooms voor Windows-installatieprogramma's vóór versie 5.13.0

Bron: Gemeld door sim0nsecurity

ZSB-22034 01/06/2023 Lokale escalatie van bevoegdheden in Zoom Rooms voor Windows-clients Hoog CVE-2022-36929

Ernstniveau: Hoog

CVSS-score: 7.8

CVSS-vectorstring: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschrijving: Zoom Rooms voor Windows-clients vóór versie 5.12.7 bevatten een kwetsbaarheid met betrekking tot de lokale escalatie van bevoegdheden. Een lokale gebruiker met weinig bevoegdheden kan deze kwetsbaarheid in een aanvalsketen misbruiken om zijn/haar bevoegdheden te escaleren naar de SYSTEM-gebruiker.
Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Rooms voor Windows-clients vóór versie 5.12.7

Bron: Gemeld door sim0nsecurity

ZSB-22033 01/06/2023 Path traversal in Zoom voor Android-clients Gemiddeld CVE-2022-36928

Ernstniveau: Gemiddeld

CVSS-score: 6.1

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N

Beschrijving: Zoom voor Android-clients vóór versie 5.13.0 bevatten een kwetsbaarheid met betrekking tot path traversal. Een externe app kan deze kwetsbaarheid misbruiken om te lezen en schrijven naar de map met Zoom-toepassingsgegevens.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom voor Android-clients vóór versie 5.13.0

Bron: Gemeld door Dimitrios Valsamaras van Microsoft

ZSB-22032 01/06/2023 Lokale escalatie van bevoegdheden in Zoom Rooms voor macOS-clients Hoog CVE-2022-36926
CVE-2022-36927

Ernstniveau: Hoog

CVSS-score: 8.8

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschrijving: Zoom Rooms voor macOS-clients vóór versie 5.11.3 bevatten een kwetsbaarheid met betrekking tot de lokale escalatie van bevoegdheden. Een lokale gebruiker met weinig bevoegdheden kan deze kwetsbaarheid misbruiken om zijn/haar bevoegdheden te escaleren naar root.
Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Rooms voor macOS-clients vóór versie 5.11.3

Bron: Gemeld door Kirin (Pwnrin)

ZSB-22031 01/06/2023 Genereren van onveilige sleutel voor Zoom Rooms voor macOS-clients Gemiddeld CVE-2022-36925

Ernstniveau: Gemiddeld

CVSS-score: 4.4

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

Beschrijving: Zoom Rooms voor macOS-clients vóór versie 5.11.4 bevatten een mechanisme dat een onveilige sleutel genereert. De coderingssleutel die wordt gebruikt voor interprocescommunicatie tussen de Zoom Rooms-daemonservice en de Zoom Rooms-client werd gegenereerd met behulp van parameters die konden worden verkregen door een lokale toepassing met weinig bevoegdheden. Die sleutel kan vervolgens worden gebruikt voor interactie met de daemonservice met als doel functies met een hoog niveau van bevoegdheden uit te voeren en een lokale denial-of-service te veroorzaken.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Rooms voor macOS vóór versie 5.11.4

Bron: Gemeld door Kirin (Pwnrin)

ZSB-22030 11/15/2022 Lokale escalatie van bevoegdheden in Zoom Rooms-installatieprogramma voor Windows Hoog CVE-2022-36924

Ernstniveau: Hoog

CVSS-score: 8.8

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschrijving: Het Zoom Rooms-installatieprogramma voor Windows vóór versie 5.12.6 bevat een kwetsbaarheid met betrekking tot de lokale escalatie van bevoegdheden. Een lokale gebruiker met weinig bevoegdheden kan deze kwetsbaarheid tijdens de installatieprocedure misbruiken om zijn/haar bevoegdheden te escaleren naar de SYSTEM-gebruiker.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Rooms-installatieprogramma voor Windows vóór versie 5.12.6

Bron: Gemeld door sim0nsecurity

ZSB-22029 11/15/2022 Lokale escalatie van bevoegdheden in Zoom Client-installatieprogramma voor macOS Hoog CVE-2022-28768

Ernstniveau: Hoog

CVSS-score: 8.8

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschrijving: Het Zoom Client for Meetings-installatieprogramma voor macOS (standaard en voor IT-beheerders) vóór versie 5.12.6 bevat een kwetsbaarheid met betrekking tot de lokale escalatie van bevoegdheden. Een lokale gebruiker met weinig bevoegdheden kan deze kwetsbaarheid tijdens de installatieprocedure misbruiken om zijn/haar bevoegdheden te escaleren naar root.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings-installatieprogramma voor macOS (standaard en voor IT-beheerders) vóór versie 5.12.6

Bron: Gemeld door Koh M. Nakagawa (tsunekoh)

ZSB-22027 11/15/2022 DLL-injectie in Zoom Windows-clients Hoog CVE-2022-28766

Ernstniveau: Hoog

CVSS-score: 8.1

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L

Beschrijving: Windows 32-bitversies van de Zoom Client for Meetings vóór versie 5.12.6 en Zoom Rooms voor vergaderruimtes vóór versie 5.12.6 zijn gevoelig voor een kwetsbaarheid met betrekking tot een DLL-injectie. Een lokale gebruiker met weinig bevoegdheden kan deze kwetsbaarheid misbruiken om willekeurige code uit te voeren binnen de context van de Zoom-client.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings voor Windows (32-bit) vóór versie 5.12.6
  • Zoom VDI Windows Meeting Client voor Windows (32-bit) vóór 5.12.6
  • Zoom Rooms voor vergaderzalen voor Windows (32-bit) vóór 5.12.6

Bron: Gemeld door sim0nsecurity

ZSB-22025 11/10/2022 Blootstelling van lokale informatie in Zoom-clients Laag CVE-2022-28764

Ernstniveau: Laag

CVSS-score: 3.3

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Beschrijving: De Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.12.6 is vatbaar voor een kwetsbaarheid met betrekking tot blootstelling van lokale informatie.

Een fout waarbij gegevens van een lokale SQL-database niet worden gewist na gebruik van een onvoldoende beveiligde sleutel op het desbetreffende apparaat die deze database versleutelt. Dit kan ertoe leiden dat een lokale kwaadwillende gebruiker gegevens van de vergadering kan bemachtigen, zoals chats tijdens de vergadering, voor de vorige vergadering die vanaf dat lokale gebruikersaccount werd bijgewoond.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.12.6
  • Zoom VDI Windows Meeting Clients vóór versie 5.12.6
  • Zoom Rooms for Conference Room (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.12.6

Bron: Gemeld door Christian Zäske van SySS GmbH

ZSB-22024 10/24/2022 Verkeerde URL-parsering in Zoom-clients Hoog CVE-2022-28763

Ernstniveau: Hoog

CVSS-score: 8.8

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Beschrijving: De Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.12.2 is vatbaar voor een kwetsbaarheid in het parseren van URL's. Als een schadelijke Zoom-vergadering-URL wordt geopend, kan deze schadelijke link de gebruiker verbinding laten maken met een willekeurig netwerkadres, wat tot extra aanvallen kan leiden, waaronder overnames van sessies.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.12.2
  • Zoom VDI Windows Meeting Clients vóór versie 5.12.2
  • Zoom Rooms for Conference Room (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.12.2

Bron: Gemeld door Zoom Security Team

ZSB-22023 10/11/2022 Verkeerde configuratie van debugpoort in Zoom Apps in de Zoom Client for Meetings voor macOS Hoog CVE-2022-28762

Ernstniveau: Hoog

CVSS-score: 7.3

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

Beschrijving: Zoom Client for Meetings voor macOS (standaard en voor IT-beheerders) vanaf versie 5.10.6 en vóór versie 5.12.0 bevat een verkeerde configuratie van een debugpoort. Wanneer de weergavecontext van de cameramodus is ingeschakeld als onderdeel van de Zoom App Layers API door bepaalde Zoom Apps uit te voeren, wordt een lokale debugpoort geopend door de Zoom-client. Een lokale kwaadwillende gebruiker kan deze debugpoort gebruiken om verbinding te maken met en controle uit te oefenen over de Zoom Apps die in de Zoom-client worden uitgevoerd.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings voor macOS (standaard en voor IT-beheerders) vanaf versie 5.10.6 en vóór versie 5.12.0

Bron: Gemeld door Zoom Security Team

ZSB-22022 10/11/2022 Lokale Zoom-implementaties: ongeschikte toegangscontrole Gemiddeld CVE-2022-28761

Ernstniveau: Gemiddeld

CVSS-score: 6.5

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Beschrijving: Zoom On-Premise Meeting Connector MMR vóór versie 4.8.20220916.131 bevat een kwetsbaarheid met betrekking tot ongeschikte toegangscontrole. Als gevolg hiervan kan een kwaadwillende persoon, wanneer deze toestemming heeft gekregen voor deelname aan een vergadering of webinar, voorkomen dat deelnemers audio en video ontvangen, waardoor de vergadering wordt verstoord.

Voor lokale Zoom-implementaties geldt dat IT-beheerders hun Zoom-software up-to-date kunnen houden door de aanwijzingen in dit artikel te volgen: https://support.zoom.us/hc/en-us/articles/360043960031

Getroffen producten:

  • Zoom On-Premise Meeting Connector MMR vóór versie 4.8.20220916.131

Bron: Gemeld door Zoom Offensive Security Team

ZSB-22021 09/13/2022 Lokale Zoom-implementaties: ongeschikte toegangscontrole Gemiddeld CVE-2022-28760

Ernstniveau: Gemiddeld

CVSS-score: 6.5

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Beschrijving: Zoom On-Premise Meeting Connector MMR vóór versie 4.8.20220815.130 bevat een kwetsbaarheid met betrekking tot ongeschikte toegangscontrole. Als gevolg hiervan kan een kwaadwillige persoon deelnemen aan een vergadering zonder zichtbaar te zijn voor de andere deelnemers wanneer deze persoon toestemming heeft gekregen voor deelname.

Voor lokale Zoom-implementaties geldt dat IT-beheerders hun Zoom-software up-to-date kunnen houden door de aanwijzingen in dit artikel te volgen: https://support.zoom.us/hc/en-us/articles/360043960031

Getroffen producten:

  • Zoom On-Premise Meeting Connector MMR vóór versie 4.8.20220815.130

Bron: Gemeld door Zoom Offensive Security Team

ZSB-22020 09/13/2022 Lokale Zoom-implementaties: ongeschikte toegangscontrole Hoog CVE-2022-28758
CVE-2022-28759

Ernstniveau: Hoog

CVSS-score: 8.2

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Beschrijving: Zoom On-Premise Meeting Connector MMR vóór versie 4.8.20220815.130 bevat een kwetsbaarheid met betrekking tot ongeschikte toegangscontrole. Als gevolg hiervan kan een kwaadwillige persoon toegang krijgen tot de audio- en videofeed van een vergadering waaraan deze persoon niet mag deelnemen en andere verstoringen van de vergadering veroorzaken.

Voor lokale Zoom-implementaties geldt dat IT-beheerders hun Zoom-software up-to-date kunnen houden door de aanwijzingen in dit artikel te volgen: https://support.zoom.us/hc/en-us/articles/360043960031

Getroffen producten:

  • Zoom On-Premise Meeting Connector MMR vóór versie 4.8.20220815.130

Bron: Gemeld door Zoom Security Team

ZSB-22019 08/17/2022 Lokale escalatie van bevoegdheden in Automatische updater voor Zoom Client for Meetings voor macOS Hoog CVE-2022-28757

Ernstniveau: Hoog

CVSS-score: 8.8

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschrijving: De Zoom Client for Meetings voor macOS (standaard en voor IT-beheerders) vanaf versie 5.7.3 en vóór versie 5.11.6 bevat een kwetsbaarheid in het proces voor automatisch updaten. Een lokale gebruiker met weinig bevoegdheden kan deze kwetsbaarheid misbruiken om zijn/haar bevoegdheden te escaleren naar root.

Opmerking: dit probleem maakt het mogelijk de patch te omzeilen die in 5.11.5 is uitgegeven om CVE-2022-28756 te verhelpen.

Gebruikers kunnen zichzelf beschermen door de huidige updates toe te passen of de meest recente Zoom-software met alle huidige beveiligingsupdates te downloaden vanaf https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings voor macOS (standaard en voor IT-beheerders) vanaf versie 5.7.3 en vóór versie 5.11.6

Bron: Gemeld door Csaba Fitzl (theevilbit) van Offensive Security

ZSB-22018 08/13/2022 Lokale escalatie van bevoegdheden in Automatische updater voor macOS Zoom-producten [Updated 2022-09-13] Hoog CVE-2022-28756

Ernstniveau: Hoog

CVSS-score: 8.8

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschrijving: De Zoom Client for Meetings voor macOS (standaard en voor IT-beheerders) vanaf versie 5.7.3 en vóór versie 5.11.5 en Zoom Rooms voor vergaderzalen voor macOS vóór versie 5.11.6 bevat een kwetsbaarheid in het proces voor automatisch updaten. Een lokale gebruiker met weinig bevoegdheden kan deze kwetsbaarheid misbruiken om zijn/haar bevoegdheden te escaleren naar root.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

*Wijzigingen - 13 september 2022 - Bijgewerkte titel en beschrijving, en Zoom Rooms toegevoegd aan de sectie "Getroffen producten".

Getroffen producten:

  • Zoom Client for Meetings voor macOS (standaard en voor IT-beheerders) vanaf versie 5.7.3 en vóór versie 5.11.5
  • Zoom Rooms for Conference Room voor macOS vóór versie 5.11.6

Bron: Gemeld door Patrick Wardle van Objective-See

ZSB-22017 08/09/2022 Lokale escalatie van bevoegdheden in Zoom Client for Meetings voor macOS Hoog CVE-2022-28751

Ernstniveau: Hoog

CVSS-score: 8.8

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschrijving: De Zoom Client for Meetings voor macOS (standaard en voor IT-beheerders) vóór versie 5.11.3 bevat een kwetsbaarheid in de validatie van de pakkethandtekening tijdens het updateproces. Een lokale gebruiker met weinig bevoegdheden kan deze kwetsbaarheid misbruiken om zijn/haar bevoegdheden te escaleren naar root.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings voor macOS (standaard en voor IT-beheerders) vóór versie 5.11.3

Bron: Gemeld door Patrick Wardle van Objective-See

ZSB-22014 08/09/2022 Lokale Zoom-implementaties: ongeschikte toegangscontrole Hoog CVE-2022-28753
CVE-2022-28754

Ernstniveau: Hoog

CVSS-score: 7.1

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N

Beschrijving: Zoom On-Premise Meeting Connector MMR vóór versie 4.8.129.20220714 bevat een kwetsbaarheid met betrekking tot ongeschikte toegangscontrole. Als gevolg hiervan kan een kwaadwillige persoon, wanneer deze toestemming heeft gekregen voor deelname aan een vergadering, deelnemen aan die vergadering zonder zichtbaar te zijn voor de andere deelnemers, zichzelf vanuit de wachtruimte in de vergadering toelaten, host worden en andere verstoringen van de vergadering veroorzaken.

Voor lokale Zoom-implementaties geldt dat IT-beheerders hun Zoom-software up-to-date kunnen houden door de aanwijzingen in dit artikel te volgen: https://support.zoom.us/hc/en-us/articles/360043960031

Getroffen producten:

  • Zoom On-Premise Meeting Connector MMR vóór versie 4.8.129.20220714

Bron: Gemeld door Zoom Offensive Security Team

ZSB-22016 08/09/2022 Verkeerde URL-parsering in Zoom-clients [Updated 2022-10-24] Kritiek CVE-2022-28755

Ernstniveau: Kritiek

CVSS-score: 9.6

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Beschrijving: De Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.11.0 is vatbaar voor een kwetsbaarheid in het parseren van URL's. Als een schadelijke Zoom-vergadering-URL wordt geopend, kan deze schadelijke link de gebruiker verbinding laten maken met een willekeurig netwerkadres, wat leidt tot extra aanvallen, waaronder het uitvoeren van externe code door uitvoerbare bestanden te starten vanaf willekeurige paden.

*Wijzigingen - 24 oktober 2022 - Zoom Rooms toegevoegd aan de sectie 'Getroffen producten'.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.11.0

Bron: Gemeld door Zoom Offensive Security Team

ZSB-22012 08/09/2022 Lokale Zoom-implementaties: overschrijding van stackbufferlimiet in Meeting Connector Hoog CVE-2022-28750

Ernstniveau: Hoog

CVSS-score: 7.5

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Beschrijving: De Zone Controller (ZC) van Zoom On-Premise Meeting Connector vóór versie 4.8.20220419.112 slaagt er niet in om STUN-foutcodes correct te parseren, wat kan leiden tot geheugenbeschadiging en waardoor een kwaadwillige persoon de kans kan krijgen de toepassing te laten crashen. In versies ouder dan 4.8.12.20211115 kan deze kwetsbaarheid ook worden misbruikt om willekeurige code uit te voeren.

Voor lokale Zoom-implementaties geldt dat IT-beheerders hun Zoom-software up-to-date kunnen houden door de aanwijzingen in dit artikel te volgen: https://support.zoom.us/hc/en-us/articles/360043960031

Getroffen producten:

  • Zone Controller (ZC) van Zoom On-Premise Meeting Connector vóór versie 4.8.20220419.112

Bron: Gemeld door Zoom Offensive Security Team

ZSB-22011 06/14/2022 Onvoldoende autorisatiecontrole tijdens deelname aan vergadering Gemiddeld CVE-2022-28749

Ernstniveau: Gemiddeld

CVSS-score: 6.5

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Beschrijving: De lokale vergaderingsconnector van Zoom MMR vóór versie 4.8.113.20220526 controleert de machtigingen van een deelnemer aan een Zoom-vergadering niet goed. Als gevolg hiervan kan een persoon die een bedreiging vormt in de wachtruimte van Zoom deelnemen aan de vergadering zonder toestemming van de gastheer.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • On-Premise vergaderingsconnector vóór versie 4.8.113.20220526

Bron: Gemeld door Zoom Offensive Security Team

ZSB- 22010 06/14/2022 DLL-injectie in Zoom Opener-installatieprogramma voor Zoom- en Zoom Rooms-clients Hoog CVE-2022-22788

Ernstniveau: Hoog

CVSS-score: 7.1

CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

Beschrijving: Het Zoom Opener-installatieprogramma wordt door een gebruiker gedownload van de pagina Vergadering starten wanneer wordt geprobeerd deel te nemen aan een vergadering zonder dat de Zoom Meeting Client is geïnstalleerd. Het Zoom Opener-installatieprogramma voor Zoom Client for Meetings vóór versie 5.10.3 en Zoom Rooms for Conference Room voor Windows vóór versie 5.10.3 zijn gevoelig voor een DLL-injectieaanval. Deze kwetsbaarheid kan worden gebruikt om willekeurige code uit te voeren op de host van het slachtoffer.

Gebruikers kunnen zichzelf beschermen door oudere versies van het Zoom Opener-installatieprogramma te verwijderen en de nieuwste versie van het Zoom Opener-installatieprogramma uit te voeren via de knop 'Nu downloaden' op de pagina 'Vergadering starten'. Gebruikers kunnen zichzelf ook beschermen door de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings voor Windows vóór versie 5.10.3
  • Alle Zoom Rooms for Conference Room voor Windows vóór versie 5.10.3

Bron: Gemeld door James Tsz Ko Yeung

ZSB-22009 05/17/2022 Onvoldoende hostnaamvalidatie tijdens serverswitch in Zoom Client for Meetings Gemiddeld CVE-2022-22787

Ernstniveau: Gemiddeld

CVSS-score: 5.9

CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Beschrijving: De Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.10.0 kan de hostnaam niet correct valideren tijdens een serverswitchaanvraag. Dit probleem kan worden gebruikt bij een meer geavanceerde aanval om de client van een nietsvermoedende gebruiker te misleiden om verbinding te maken met een schadelijke server wanneer u Zoom-diensten probeert te gebruiken.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.10.0

Bron: Gemeld door Ivan Fratric van Google Project Zero

ZSB-22008 05/17/2022 Downgrade van updatepakket in Zoom Client for Meetings voor Windows Hoog CVE-2022-22786

Ernstniveau: Hoog

CVSS-score: 7.5

CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Beschrijving: De Zoom Client for Meetings voor Windows vóór versie 5.10.0 en Zoom Rooms for Conference Room voor Windows vóór versie 5.10.0 kan de installatieversie niet correct controleren tijdens het updateproces. Dit probleem kan worden gebruikt bij een meer geavanceerde aanval om een gebruiker te misleiden om zijn Zoom-client te downgraden naar een minder veilige versie.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Alle Zoom Client for Meetings voor Windows vóór versie 5.10.0
  • Alle Zoom Rooms for Conference Room voor Windows vóór versie 5.10.0

Bron: Gemeld door Ivan Fratric van Google Project Zero

ZSB-22007 05/17/2022 Onjuist beperkte sessiecookies in Zoom Client for Meetings Gemiddeld CVE-2022-22785

Ernstniveau: Gemiddeld

CVSS-score: 5.9

CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Beschrijving: De Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.10.0 kan clientsessiecookies niet correct beperken tot Zoom-domeinen. Dit probleem kan worden gebruikt bij een meer geavanceerde aanval om de Zoom-scoped sessiecookies van een gebruiker naar een niet-Zoom-domein te sturen. Dit kan mogelijk spoofing van een Zoom-gebruiker mogelijk maken.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.10.3

Bron: Gemeld door Ivan Fratric van Google Project Zero

ZSB- 22006 05/17/2022 Onjuiste XML-parsering in Zoom Client for Meetings Hoog CVE-2022-22784

Ernstniveau: Hoog

CVSS-score: 8.1

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Beschrijving: De Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.10.0 kan XML-strofen in XMPP-berichten niet correct parseren. Hierdoor kan een kwaadwillende gebruiker uit de huidige XMPP-berichtcontext breken en een nieuwe berichtcontext maken om de client van de ontvangende gebruiker verschillende acties te laten uitvoeren. Dit probleem kan worden gebruikt bij een meer geavanceerde aanval om XMPP-berichten van de server te vervalsen.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.10.0

Bron: Gemeld door Ivan Fratric van Google Project Zero

ZSB- 22005 04/27/2022 Blootstelling van procesgeheugen in lokale Zoom Meeting-diensten Hoog CVE-2022-22783

Ernstniveau: Hoog

CVSS-score: 8.3

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/CR:H

Beschrijving: Een beveiligingslek in Zoom On-Premise Meeting Connector Controller versie 4.8.102.20220310 en On-Premise Meeting Connector MMR versie 4.8.102.20220310 stelt procesgeheugenfragmenten bloot aan verbonden clients, die kunnen worden waargenomen door een passieve aanvaller.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden.

Getroffen producten:

  • Zoom On-Premise Meeting Connector Controller versie 4.8.102.20220310
  • Zoom On-Premise Meeting Connector MMR versie 4.8.102.20220310

Bron: Zoom Offensive Security Team

ZSB-22004 04/27/2022 Lokale escalatie van bevoegdheden in Windows Zoom Clients Hoog CVE-2022-22782

Ernstniveau: Hoog

CVSS-score: 7.9

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

Beschrijving: De Zoom Client for Meetings voor Windows vóór versie 5.9.7, Zoom Rooms for Conference Room voor Windows vóór versie 5.10.0, Zoom Plugins voor Microsoft Outlook voor Windows vóór versie 5.10.3 en Zoom VDI Windows Meeting Clients vóór versie 5.9.6; waren gevoelig voor een probleem met lokale escalatie van bevoegdheden tijdens de reparatie van het installatieprogramma. Een kwaadwillend persoon kan dit gebruiken om mogelijk bestanden of mappen op systeemniveau te verwijderen, waardoor integriteits- of beschikbaarheidsproblemen op de hostcomputer van de gebruiker ontstaan.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Alle Zoom Client for Meetings voor Windows vóór versie 5.9.7
  • Alle Zoom Rooms for Conference Room voor Windows vóór versie 5.10.0
  • Alle Zoom Plugins for Microsoft Outlook voor Windows vóór versie 5.10.3
  • Alle Zoom VDI Windows Meeting Clients VÓÓR versie 5.9.6

Bron: Gemeld door het Zero Day Initiative

ZSB-22003 04/27/2022 Downgrade van updatepakket in Zoom Client for Meetings voor macOS Hoog CVE-2022-22781

Ernstniveau: Hoog

CVSS-score: 7.5

CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Beschrijving: De Zoom Client for Meetings voor macOS (standaard en voor IT-beheerders) vóór versie 5.9.6 kan de pakketversie niet goed controleren tijdens het updateproces. Dit kan ervoor zorgen dat een kwaadwillende persoon de momenteel geïnstalleerde versie van een nietsvermoedende gebruiker kan bijwerken naar een minder veilige versie.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Alle Zoom Clients for Meetings voor macOS (standaard en voor IT-beheerders) vóór versie 5.9.6

Bron: Gemeld door Patrick Wardle van Objective-See

ZSB-22002 02/08/2022 Zoom Team Chat gevoelig voor decompressiebommen Gemiddeld CVE-2022-22780

Ernstniveau: Gemiddeld

CVSS-score: 4.7

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L

Beschrijving: De chatfunctie van de Zoom Client for Meetings was gevoelig voor aanvallen met Zip bombing in de volgende productversies: Android voor versie 5.8.6, iOS voor versie 5.9.0, Linux voor versie 5.8.6, macOS voor versie 5.7.3 en Windows voor versie 5.6.3. Dit kan leiden tot beschikbaarheidsproblemen op de clienthost door systeembronnen uit te putten.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Alle Zoom Clients for Meetings voor Android vóór versie 5.8.6
  • Alle Zoom Client for Meetings voor Windows vóór versie 5.9.0
  • Alle Zoom Client for Meetings voor Linux vóór versie 5.8.6
  • Alle Zoom Client for Meetings voor macOS vóór versie 5.7.3
  • Alle Zoom Client for Meetings voor Windows vóór versie 5.6.3

Bron: Gemeld door Johnny Yu van Walmart Global Tech

ZSB-22001 02/08/2022 Bewaarde geëxplodeerde berichten in Keybase-clients voor macOS en Windows Laag CVE-2022-22779

Ernstniveau: Laag

CVSS-score: 3.7

CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Beschrijving: De Keybase-clients voor macOS en Windows vóór versie 5.9.0 kunnen uigeklapte berichten die door een gebruiker zijn gestart, niet correct verwijderen. Dit kan gebeuren als de ontvangende gebruiker overschakelt naar een niet-chatfunctie en de host in een slaapstand plaatst voordat de verzendende gebruiker de berichten uitklapt. Dit kan leiden tot openbaarmaking van gevoelige informatie die uit het bestandssysteem van een gebruiker moest worden verwijderd.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Keybase-software met alle actuele beveiligingsupdates te downloaden van https://keybase.io/download.

Getroffen producten:

  • Alle Keybase Clients voor macOS en Windows vóór versie 5.9.0

Bron: Gemeld door Olivia O'Hara

ZSB-21022 12/14/2021 Willekeurige uitvoering van opdrachten in Keybase Client voor Windows Gemiddeld CVE-2021-34426

Ernstniveau: Gemiddeld

CVSS-score: 5.3

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

Beschrijving: Er is een kwetsbaarheid ontdekt in de Keybase Client voor Windows vóór versie 5.6.0 toen een gebruiker de opdracht "keybase git lfs-config" op de opdrachtregel uitvoerde. In versies vóór 5.6.0 kan een kwaadwillende persoon met schrijftoegang tot de Git-opslagplaats van een gebruiker dit beveiligingslek gebruiken om mogelijk willekeurige Windows-opdrachten uit te voeren op het lokale systeem van een gebruiker.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Keybase-software met alle actuele beveiligingsupdates te downloaden van https://keybase.io/download.

Getroffen producten:

  • Alle Keybase Clients voor Windows vóór versie 5.6.0

Bron: Gemeld door RyotaK

ZSB-21021 12/14/2021 Vervalsing verzoek serverzijde in chat van Zoom Client for Meetings Gemiddeld CVE-2021-34425

Ernstniveau: Gemiddeld

CVSS-score: 4.7

CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N

Beschrijving: De Zoom Client for Meetings vóór versie 5.7.3 (voor Android, iOS, Linux, macOS en Windows) bevat een kwetsbaarheid voor vervalsing van verzoeken aan de serverzijde in de functie "link preview" van de chat. In versies vóór 5.7.3, als een gebruiker de functie "link preview" van de chat inschakelt, kan een kwaadwillende persoon de gebruiker misleiden om mogelijk willekeurige HTTP GET-verzoeken te verzenden naar URL's die de acteur niet rechtstreeks kan bereiken.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Alle Zoom Clients for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.7.3

Bron: Gemeld door Johnny Yu van Walmart Global Tech

ZSB-21020 11/24/2021 Blootstelling procesgeheugen in Zoom Client en andere producten Gemiddeld CVE-2021-34424

Ernstniveau: Gemiddeld

CVSS-score: 5.3

CVSS-vectorstring: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Beschrijving: Er werd een kwetsbaarheid ontdekt in de producten die worden vermeld in de sectie 'Getroffen producten' van dit bulletin, waardoor de status van het procesgeheugen mogelijk is blootgesteld. Dit probleem kan worden gebruikt om mogelijk inzicht te krijgen in willekeurige gebieden van het geheugen van het product.

Zoom heeft dit probleem verholpen in de nieuwste releases van de producten die hieronder worden vermeld. Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden.

Getroffen producten:

  • Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.8.4
  • Zoom Client for Meetings voor Blackberry (voor Android en iOS) vóór versie 5.8.1
  • Zoom Client for Meetings voor intune (voor Android en iOS) vóór versie 5.8.4
  • Zoom Client for Meetings voor Chrome OS vóór versie 5.0.1
  • Zoom Rooms for Conference Room (voor Android, AndroidBali, macOS en Windows) vóór versie 5.8.3
  • Controllers for Zoom Rooms (voor Android, iOS en Windows) vóór versie 5.8.3
  • Zoom VDI Windows Meeting Client vóór versie 5.8.4
  • Zoom VDI Azure Virtual Desktop Plugins (voor Windows x86 of x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) vóór versie 5.8.4.21112
  • Zoom VDI Citrix Plugins (voor Windows x86 of x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) vóór versie 5.8.4.21112
  • Zoom VDI VMware Plugins (voor Windows x86 of x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) vóór versie 5.8.4.21112
  • Zoom Meeting SDK voor Android vóór versie 5.7.6.1922
  • Zoom Meeting SDK voor iOS vóór versie 5.7.6.1082
  • Zoom Meeting SDK voor Windows vóór versie 5.7.6.1081
  • Zoom Meeting SDK voor Mac vóór versie 5.7.6.1340
  • Zoom Video SDK (voor Android, iOS, macOS en Windows) vóór versie 1.1.2
  • Zoom On-Premise Meeting Connector vóór versie 4.8.12.20211115
  • Zoom On-Premise Meeting Connector MMR vóór versie 4.8.12.20211115
  • Zoom On-Premise Recording Connector vóór versie 5.1.0.65.20211116
  • Zoom On-Premise Virtual Room Connector vóór versie 4.4.7266.20211117
  • Zoom On-Premise Virtual Room Connector vóór versie 4.4.7266.20211117
  • Zoom Hybrid Zproxy vóór versie 1.0.1058.20211116
  • Zoom Hybride MMR vóór versie 4.6.20211116.131_x86-64

Bron: Gemeld door Natalie Silvanovich van Google Project Zero

ZSB-21019 11/24/2021 Bufferoverloop in Zoom Client en andere producten Hoog CVE-2021-34423

Ernstniveau: Hoog

CVSS-score: 7.3

CVSS-vectorstring: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Beschrijving: Er werd een kwetsbaarheid voor bufferoverloop ontdekt in de producten vermeld onder 'Getroffen producten' van dit bulletin. Hierdoor kan een kwaadwillige persoon de service of app laten crashen of dit beveiligingslek gebruiken om willekeurige code uit te voeren.

Zoom heeft dit probleem verholpen in de nieuwste releases van de producten die hieronder worden vermeld. Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden.

Getroffen producten:

  • Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.8.4
  • Zoom Client for Meetings voor Blackberry (voor Android en iOS) vóór versie 5.8.1
  • Zoom Client for Meetings voor intune (voor Android en iOS) vóór versie 5.8.4
  • Zoom Client for Meetings voor Chrome OS vóór versie 5.0.1
  • Zoom Rooms for Conference Room (voor Android, AndroidBali, macOS en Windows) vóór versie 5.8.3
  • Controllers for Zoom Rooms (voor Android, iOS en Windows) vóór versie 5.8.3
  • Zoom VDI Windows Meeting Client vóór versie 5.8.4
  • Zoom VDI Azure Virtual Desktop Plugins (voor Windows x86 of x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) vóór versie 5.8.4.21112
  • Zoom VDI Citrix Plugins (voor Windows x86 of x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) vóór versie 5.8.4.21112
  • Zoom VDI VMware Plugins (voor Windows x86 of x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) vóór versie 5.8.4.21112
  • Zoom Meeting SDK voor Android vóór versie 5.7.6.1922
  • Zoom Meeting SDK voor iOS vóór versie 5.7.6.1082
  • Zoom Meeting SDK voor macOS vóór versie 5.7.6.1340
  • Zoom Meeting SDK voor Windows vóór versie 5.7.6.1081
  • Zoom Video SDK (voor Android, iOS, macOS en Windows) vóór versie 1.1.2
  • Zoom On-Premise Meeting Connector Controller vóór versie 4.8.12.20211115
  • Zoom On-Premise Meeting Connector MMR vóór versie 4.8.12.20211115
  • Zoom On-Premise Recording Connector vóór versie 5.1.0.65.20211116
  • Zoom On-Premise Virtual Room Connector vóór versie 4.4.7266.20211117
  • Zoom On-Premise Virtual Room Connector vóór versie 4.4.7266.20211117
  • Zoom Hybrid Zproxy vóór versie 1.0.1058.20211116
  • Zoom Hybride MMR vóór versie 4.6.20211116.131_x86-64

Bron: Bron: Gemeld door Natalie Silvanovich van Google Project Zero

ZSB-21018 11/09/2021 Path traversal van bestandsnaam in Keybase Client voor Windows Hoog CVE-2021-34422

Ernstniveau: Hoog

CVSS-score: 7.2

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

Beschrijving: De Keybase Client voor Windows vóór versie 5.7.0 bevat een kwetsbaarheid voor path traversal bij het controleren van de bestandsnaam geüpload naar een teammap. Een kwaadwillige gebruiker kan een bestand uploaden naar een gedeelde map met een speciaal vervaardigde bestandsnaam waarmee een gebruiker een toepassing kan uitvoeren die niet bedoeld was op zijn hostcomputer. Als een kwaadwillige gebruiker dit probleem heeft gebruikt met de functie voor het delen van openbare mappen van de Keybase-client, kan dit leiden tot uitvoering van externe code.

Keybase heeft dit probleem opgelost in de 5.7.0 Keybase Client voor Windows-release. Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Keybase-software met alle actuele beveiligingsupdates te downloaden van https://keybase.io/download.

Getroffen producten:

  • Keybase Client voor Windows vóór versie 5.7.0

Bron: Gemeld door m4t35z

ZSB-21017 11/09/2021 Bewaarde uitgeklapte berichten in Keybase-clients voor Android en iOS Laag CVE-2021-34421

Ernstniveau: Laag

CVSS-score: 3.7

CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Beschrijving: De Keybase Client voor Android vóór versie 5.8.0 en de Keybase Client voor iOS vóór versie 5.8.0 kunnen uitgeklapte berichten die door een gebruiker zijn gestart niet correct verwijderen als de ontvangende gebruiker de chatsessie op de achtergrond plaatst terwijl de verzendende gebruiker de berichten uitklapt. Dit kan leiden tot openbaarmaking van gevoelige gegevens die van het apparaat van de klant moest worden verwijderd.

Keybase heeft dit probleem opgelost in de releases 5.8.0 Keybase Client voor Android en de 5.8.0 Keybase Client voor iOS. Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Keybase-software met alle actuele beveiligingsupdates te downloaden van https://keybase.io/download.

Getroffen producten:

  • Alle Keybase Client voor Android voor versie 5.8.0
  • Alle Keybase Clients voor iOS vóór versie 5.8.0

Bron: Gemeld door Olivia O'Hara, John Jackson, Jackson Henry en Robert Willis

ZSB-21016 11/09/2021 Omzeiling uitvoerbare handtekening Zoom Windows-installatie Gemiddeld CVE-2021-34420

Ernstniveau: Gemiddeld

CVSS-score: 4.7

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N

Beschrijving: Het installatieprogramma Zoom Client for Meetings voor Windows vóór versie 5.5.4 controleert de handtekening van bestanden met de extensie .msi, .ps1 en .bat niet goed. Dit kan ertoe leiden dat een kwaadwillige persoon schadelijke software op de computer van een klant installeert.

Zoom heeft dit probleem opgelost in de release 5.5.4 Zoom Client for Meetings voor Windows. Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Alle Zoom Client for Meetings voor Windows vóór versie 5.5.4

Bron: Gemeld Laurent Delosieres van ManoMano

ZSB-21015 11/09/2021 HTML-injectie in Zoom Linux-client Laag CVE-2021-34419

Ernstniveau: Laag

CVSS-score: 3.7

CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

Beschrijving: In de Zoom Client for Meetings voor Ubuntu Linux vóór versie 5.1.0 is er een HTML-injectiefout bij het verzenden van een verzoek voor externe controle naar een gebruiker tijdens het delen van schermen in de vergadering. Hierdoor kunnen deelnemers aan de vergadering het doelwit zijn van social engineering-aanvallen.

Zoom heeft dit probleem opgelost in de release 5.1.0 Zoom Client for Meetings voor Ubuntu Linux. Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings voor Ubuntu Linux vóór versie 5.1.0

Bron: Gemeld door Danny de Weille en Rick Verdoes van hackdefense

ZSB-21014 11/09/2021 Crash Pre-auth Null in lokale webconsole Gemiddeld CVE-2021-34418

Ernstniveau: Gemiddeld

CVSS-score: 4.0

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Beschrijving: De aanmelddienst van de webconsole voor de producten vermeld in de sectie 'Getroffen producten' van dit bulletin, kan niet valideren dat er een NULL-byte is verzonden tijdens de verificatie. Dit kan leiden tot een crash van de inlogservice.

Getroffen producten:

  • Zoom On-Premise Meeting Connector Controller versie 4.6.239.20200613
  • Zoom On-Premise Meeting Connector MMR vóór versie 4.6.239.20200613
  • Zoom On-Premise Recording Connector vóór versie 3.8.42.20200905
  • Zoom On-Premise Virtual Room Connector vóór versie 4.4.6344.20200612
  • Zoom On-Premise Virtual Room Connector Load Balancer vóór versie 2.5.5492.20200616

Bron: Gemeld door Jeremy Brown

ZSB-21013 11/09/2021 Geverifieerde uitvoering van opdrachten op afstand met rootrechten via webconsole in MMR Hoog CVE-2021-34417

Ernstniveau: Hoog

CVSS-score: 7.9

CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N

Beschrijving: De netwerkproxypagina op de web portal voor de producten vermeld onder 'Getroffen producten' van dit bulletin, kan de input niet valideren die wordt verzonden in verzoeken voor het instellen van het wachtwoord van de netwerkproxy. Dit kan leiden tot het op afstand injecteren van opdrachten door een web portal-beheerder.

Getroffen producten:

  • Zoom On-Premise Meeting Connector Controller versie 4.6.365.20210703
  • Zoom On-Premise Meeting Connector MMR vóór versie 4.6.365.20210703
  • Zoom On-Premise Recording Connector vóór versie 3.8.45.20210703
  • Zoom On-Premise Recording Connector vóór versie 3.8.45.20210703
  • Zoom On-Premise Virtual Room Connector Load Balancer vóór versie 2.5.5496.20210703

Bron: Gemeld door Jeremy Brown

ZSB-21012 09/30/2021 Uitvoering van externe code tegen lokale afbeeldingen via het web portal Gemiddeld CVE-2021-34416

Ernstniveau: Gemiddeld

CVSS-score: 5.5

CVSS-vectorstring: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N

Beschrijving: Het web portal voor beheerinstellingen voor netwerkadressen voor de lokale Zoom Meeting Connector vóór versie 4.6.360.20210325, lokale Zoom Meeting Connector MMR vóór versie 4.6.360.20210325, lokale Zoom Recording Connector vóór versie 3.8.44.20210326, lokale Zoom Virtual Room Connector vóór versie 4.4.6752.20210326 en lokale Zoom Virtual Room Connector Load Balancer vóór versie 2.5.5495.20210326 kan de input verzonden in verzoeken om de netwerkconfiguratie bij te werken niet valideren. Dit kan leiden tot externe opdrachtinjectie op de lokale image door de web portal-beheerders.

Getroffen producten:

  • Lokale Zoom Meeting Connector vóór versie 4.6.360.20210325
  • Zoom on-premise Meeting Connector MMR vóór versie 4.6.360.20210325
  • Zoom on-premise Recording Connector vóór versie 3.8.44.20210326
  • Zoom on-premise Virtual Room Connector vóór versie 4.4.6752.20210326
  • Zoom on-premise Virtual Room Connector Load Balancer vóór versie 2.5.5495.20210326

Bron: Gemeld door Egor Dimitrenko van Positive Technologies

ZSB-21011 09/30/2021 ZC crasht bij het gebruik van een PDU die veel allocaties veroorzaakt Hoog CVE-2021-34415

Ernstniveau: Hoog

CVSS-score: 7.5

CVSS-vectorstring: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Beschrijving: De Zone Controller-dienst in de lokale Zoom Meeting Connector Controller vóór versie 4.6.358.20210205 controleert het cnt-veld verzonden in binnenkomende netwerkpakketten niet. Dit leidt tot uitputting van bronnen en systeemcrash.

Getroffen producten:

  • Lokale Zoom Meeting Connector Controller vóór versie 4.6.358.20210205

Bron: Gemeld door Nikita Abramov van Positive Technologies

ZSB-21010 09/30/2021 Uitvoering van externe code tegen Meeting Connector-server via web portal-netwerkproxyconfiguratie Gemiddeld CVE-2021-34414

Ernstniveau: Gemiddeld

CVSS-score: 7.2

CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Beschrijving: De netwerkproxypagina op de web portal voor de lokale Zoom Meeting Connector Controller vóór versie 4.6.348.20201217, lokale Zoom Meeting Connector MMR vóór versie 4.6.348.20201217, lokale Zoom Recording Connector vóór versie 3.8.42.20200905, lokale Zoom Virtual Room Connector vóór versie 4.4.6620.20201110 en lokale Zoom Virtual Room Connector Load Balancer vóór versie 2.5.5495.20210326 kan input verzonden in verzoeken om de netwerkproxyconfiguratie bij te werken niet valideren. Dit kan leiden tot het op afstand injecteren van opdrachten op de lokale image door een web portal-beheerder.

Getroffen producten:

  • Lokale Zoom Meeting Connector Controller vóór versie 4.6.348.20201217
  • Zoom on-premise Recording Connector vóór versie 3.8.42.20200905
  • Zoom on-premise Recording Connector vóór versie 3.8.42.20200905
  • Zoom on-premise Virtual Room Connector vóór versie 4.4.6620.20201110
  • Zoom on-premise Virtual Room Connector Load Balancer vóór versie 2.5.5495.20210326

Bron: Gemeld door Egor Dimitrenko van Positive Technologies

ZSB-21009 09/30/2021 Lokale escalatie van bevoegdheden van macOS Outlook Plugin-installatieprogramma Laag CVE-2021-34413

Ernstniveau: Laag

CVSS-score: 2.8

CVSS-vectorstring: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N

Beschrijving: Alle versies van de Zoom Plugin for Microsoft Outlook voor macOS vóór 5.3.52553.0918 bevatten een Time-of-check Time-of-use (TOC/TOU)-kwetsbaarheid tijdens het installatieproces van de plug-in. Hierdoor kan een standaard gebruiker zijn eigen schadelijke toepassing schrijven naar de map met plug-ins, waardoor de schadelijke toepassing met bevoegdheden kan worden uitgevoerd.

Getroffen producten:

  • Alle versies van de Zoom Plugin for Microsoft Outlook voor macOS vóór 5.3.52553.0918

Bron: Gemeld door het Lockheed Martin Red Team

ZSB-21008 09/30/2021 Lokale escalatie van bevoegdheden van Zoom voor Windows-installatieprogramma Gemiddeld CVE-2021-34412

Ernstniveau: Gemiddeld

CVSS-score: 4.4

CVSS-vectorstring: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Beschrijving: Tijdens het installatieproces voor alle versies van de Zoom Client for Meetings voor Windows vóór 5.4.0 is het mogelijk om Internet Explorer te starten. Als het installatieprogramma werd gestart met verhoogde bevoegdheden, zoals door SCCM, kan dit leiden tot een lokale escalatie van bevoegdheden.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings voor Windows vóór versie 5.4.0

Bron: Gemeld door het Lockheed Martin Red Team

ZSB-21007 09/30/2021 Lokale escalatie bevoegdheden installatieprogramma Zoom Rooms Gemiddeld CVE-2021-34411

Ernstniveau: Gemiddeld

CVSS-score: 4.4

CVSS-vectorstring: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Beschrijving: Tijdens het installatieproces voor Zoom Rooms for Conference Room voor Windows vóór versie 5.3.0 is het mogelijk om Internet Explorer met verhoogde bevoegdheden te starten. Als het installatieprogramma werd gestart met verhoogde bevoegdheden, zoals door SCCM, kan dit leiden tot een lokale escalatie van bevoegdheden.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Rooms for Conference Room voor Windows vóór versie 5.3.0
  • Zoom Rooms for Conference vóór versie 5.1.0

Bron: Gemeld door het Lockheed Martin Red Team

ZSB-21004 09/30/2021 Zoom MSI-installatieprogramma verhoogd schrijven met behulp van een knooppunt Hoog CVE-2021-34408

Ernstniveau: Hoog

CVSS-score: 7.0

CVSS-vectorstring: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Beschrijving: Een door de gebruiker beschrijfbaar gemaakte directory tijdens de installatie van de Zoom Client for Meetings voor Windows vóór versie 5.3.2, kan worden omgeleid naar een andere locatie met behulp van een knooppunt. Hierdoor kan een aanvaller bestanden overschrijven die een beperkte gebruiker anders niet zou kunnen wijzigen.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Client for Meetings voor Windows vóór versie 5.3.2

Bron: Gemeld door het Lockheed Martin Red Team

ZSB-21003 09/30/2021 Omzeiling digitale handtekening Windows Zoom-installatieprogramma Hoog CVE-2021-33907

Ernstniveau: Hoog

CVSS-score: 7.0

CVSS-vectorstring: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H/MPR:N/MUI:R/MS:U/MC:H/MI:H/MA:H

Beschrijving: De Zoom-client voor vergaderingen voor Windows in alle versies vóór 5.3.0 kan de certificaatgegevens die worden gebruikt om .msi bestanden te ondertekenen bij het uitvoeren van een update van de client, niet correct valideren. Dit kan leiden tot uitvoering van externe code in een context met verhoogde bevoegdheden.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Alle versies van de Zoom Client for Meetings voor Windows vóór versie 5.3.0

Bron: Gemeld door het Lockheed Martin Red Team

ZSB-21002 08/13/2021 Een heap-overschrijding van statische buffer ongecontroleerd schrijven vanuit XMPP-bericht Hoog CVE-2021-30480

Ernstniveau: Hoog

CVSS-score: 8.1

CVSS-vectorstring: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H

Beschrijving: Er bestaat een overschrijding van de bufferlimiet op basis van heap in alle desktopversies van de Zoom Client for Meetings vóór versie 5.6.3. Deze bevinding werd gemeld aan Zoom als onderdeel van 2021 Pwn20wn Vancouver. De aanvalsketen die tijdens Pwn20wn werd aangetoond, werd in een verandering aan serverzijde gemitigeerd in de infrastructuur van Zoom op 2021-04-09.

In combinatie met twee andere problemen die tijdens Pwn20wn zijn gemeld - onjuiste URL-validatie bij het verzenden van een XMPP-bericht om toegang te krijgen tot een URL van de Zoom Marketplace en onjuiste URL-validatie bij het weergeven van een GIPHY-afbeelding - kan een kwaadwillige gebruiker externe code uitvoeren op de computer van een doelwit.
Het doelwit moet eerder een verbindingsverzoek van de kwaadwillige gebruiker accepteren of zich in een chat met meerdere gebruikers met de kwaadwillige gebruiker bevinden om deze aanval te laten slagen. De aanvalsketen die in Pwn20wn wordt gedemonstreerd, kan zeer zichtbaar zijn voor doelen, waardoor meerdere clientmeldingen plaatsvinden.

Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Alle desktopversies van de Zoom Client for Meetings vóór 5.6.3

Bron: Gemeld door Daan Keuper en Thijs Alkemade van Computest via het Zero Day Initiative

ZSB-21001 03/26/2021 Functionaliteit voor scherm delen van toepassingsvensters Gemiddeld CVE-2021-28133

Ernstniveau: Gemiddeld

CVSS-score: 5.7

CVSS-vectorstring: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

Beschrijving: Een kwetsbaarheid beïnvloedde de Zoom Windows- en Linux Clients voor het delen van schermen bij het delen van afzonderlijke toepassingsvensters, waarin scherminhoud van apps die niet expliciet worden gedeeld door de gebruikers van het delen van het scherm, gedurende een kort moment door andere deelnemers aan de vergadering kan worden gezien als de "deler" een ander venster minimaliseert, maximaliseert of sluit.

Zoom heeft verschillende nieuwe beveiligingsbeperkingen geïntroduceerd in Zoom Windows Client versie 5.6 die de kans verkleinen dat dit probleem zich voor Windows-gebruikers voordoet. We blijven werken aan aanvullende maatregelen om dit probleem op alle betrokken platforms op te lossen.

Zoom heeft het probleem ook opgelost voor Ubuntu-gebruikers op 1 maart 2021 in Zoom Linux Client versie 5.5.4. Gebruikers kunnen updates toepassen of de nieuwste Zoom-software met alle actuele beveiligingsupdates downloaden van https://zoom.us/download.

Getroffen producten:

  • Alle Windows Zoom Client-versies
  • Linux Zoom Client-versies vóór 5.5.4 op Ubuntu
  • Alle Linux Client-versies op andere ondersteunde distributies

Bron: Ontdekt door Michael Stramez en Matthias Deeg.

ZSB-20002 08/14/2020 Windows DLL in de Zoom Sharing Service Hoog CVE-2020-9767

Ernstniveau: Hoog

CVSS-score: 7.8

CVSS-vectorstring: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Beschrijving: Door een kwetsbaarheid met betrekking tot het laden van DLL's (Dynamic-Link Library) in de Zoom Sharing-dienst kan een lokale Windows-gebruiker bevoegdheden escaleren naar die van de NT AUTHORITY/SYSTEM-gebruiker.

De kwetsbaarheid is te wijten aan onvoldoende handtekeningcontroles van dynamisch geladen DLL's bij het laden van een uitvoerbaar bestand met handtekening. Een aanvaller kan misbruik maken van deze kwetsbaarheid door een schadelijke DLL in een uitvoerbaar bestand van Zoom met handtekening te injecteren en deze te gebruiken om processen met verhoogde machtigingen te starten.

Zoom heeft dit probleem opgelost in de 5.0.4-clientrelease. Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Windows-installatieprogramma (ZoomInstallerFull.msi) versies vóór 5.0.4

Bron: Connor Scott van Context Information Security

ZSB-20001 05/04/2020 Zoom IT-installatieprogramma voor Windows Hoog CVE-2020-11443

Ernstniveau: Hoog

CVSS-score: Basis: 8.4

CVSS-vectorstring: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Beschrijving: Een kwetsbaarheid in de manier waarop het Zoom Windows-installatieprogramma knooppunten verwerkt bij het verwijderen van bestanden. Dit kan een lokale Windows-gebruiker ertoe brengen bestanden te verwijderen die normaal niet door de gebruiker kunnen worden verwijderd.

De kwetsbaarheid is te wijten aan onvoldoende controle op knooppunten in de map waaruit het installatieprogramma bestanden verwijdert, die beschrijfbaar is voor standaard gebruikers. Een kwaadwillige lokale gebruiker kan misbruik maken van deze kwetsbaarheid door in de betrokken map een knooppunt te maken dat verwijst naar beveiligde systeembestanden of andere bestanden waarvoor de gebruiker geen machtigingen heeft. Bij het uitvoeren van het Zoom Windows-installatieprogramma met verhoogde machtigingen, zoals het geval is wanneer het wordt uitgevoerd via beheerde implementatiesoftware, worden die bestanden van het systeem verwijderd.

Zoom heeft dit probleem opgelost in de 4.6.10-clientrelease. Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom Windows installer (ZoomInstallerFull.msi) versies ouder dan 4.6.10

Bron: Met dank aan het Lockheed Martin Red Team.

ZSB-19003 07/12/2019 ZoomOpener daemon Hoog CVE-2019-13567

Ernstniveau: Hoog

CVSS-score: Basis: 7.5

CVSS-vectorstring: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Beschrijving: Door een kwetsbaarheid in de Zoom macOS-client kan een aanvaller schadelijke software downloaden naar het apparaat van een slachtoffer.

De kwetsbaarheid is te wijten aan onjuiste inputvalidatie en validatie van gedownloade software in de ZoomOpener-helpertoepassing. Een aanvaller kan de kwetsbaarheid misbruiken om het apparaat van een slachtoffer te vragen namens de aanvaller bestanden te downloaden. Een succesvolle exploit is alleen mogelijk als het slachtoffer eerder de Zoom Client heeft verwijderd.

Zoom heeft dit probleem opgelost in de clientrelease 4.4.52595.0425. Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom macOS-client vóór versie 4.4.52595.0425 en na versie 4.1.27507.0627

Bron: Onbekend.

ZSB-19002 07/09/2019 Standaard video-instelling Laag CVE-2019-13450

Ernstniveau: Laag

CVSS-score: Basis: 3.1

CVSS-vectorstring: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

Beschrijving: Door een kwetsbaarheid in de macOS Zoom- en RingCentral-clients kan een externe, niet-geverifieerde aanvaller een gebruiker dwingen deel te nemen aan een videogesprek met ingeschakelde videocamera.

Het beveiligingslek is te wijten aan onvoldoende verificatiecontroles om te controleren welke systemen kunnen communiceren met de lokale Zoom-webserver die op poort 19421 wordt uitgevoerd. Een aanvaller kan misbruik maken van deze kwetsbaarheid door een schadelijke website te maken die ervoor zorgt dat de Zoom-client automatisch deelneemt aan een vergadering die door de aanvaller is ingesteld.

Zoom implementeerde een nieuw dialoogvenster Videovoorbeeld dat aan de gebruiker wordt getoond voordat deze deelneemt aan een vergadering in Clientversie 4.4.5, gepubliceerd op 14 juli 2019. In dit dialoogvenster kan de gebruiker deelnemen aan de vergadering met of zonder ingeschakelde video en moet de gebruiker het gewenste standaardgedrag voor video instellen. Zoom dringt er bij klanten op aan om de nieuwste Zoom Client-release te installeren die beschikbaar is op https://zoom.us/download.

Getroffen producten:

  • Zoom macOS-client vóór versie 4.4.5
  • RingCentral macOS-client vóór versie 4.4.5

Bron: Ontdekt door Jonathan Leitschuh.

ZSB-19001 07/09/2019 Denial of service-aanval - macOS Laag CVE-2019-13449

Ernstniveau: Laag

CVSS-score: Basis: 3.1

CVSS-vectorstring: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Beschrijving: Door een kwetsbaarheid in de macOS Zoom-client kan een externe, niet-geverifieerde aanvaller een denial-of-service-toestand activeren op het systeem van een slachtoffer.

Het beveiligingslek is te wijten aan onvoldoende verificatiecontroles om te controleren welke systemen kunnen communiceren met de lokale Zoom-webserver die op poort 19421 wordt uitgevoerd. Een aanvaller kan misbruik maken van dit beveiligingslek door een schadelijke website te maken die ervoor zorgt dat de Zoom-client herhaaldelijk probeert deel te nemen aan een vergadering met een ongeldige vergaderings-id. De oneindige lus zorgt ervoor dat de Zoom-client niet meer werkt en dit kan van invloed zijn op de prestaties van het systeem waarop het wordt uitgevoerd.

Zoom heeft op 28 april 2019 versie 4.4.2-hotfix van de macOS-client uitgebracht om het probleem op te lossen. Gebruikers kunnen zichzelf beschermen door actuele updates toe te passen of de nieuwste Zoom-software met alle actuele beveiligingsupdates te downloaden van https://zoom.us/download.

Getroffen producten:

  • Zoom macOS-client vóór versie 4.4.5
  • RingCentral macOS-client vóór versie 4.4.5

Bron: Ontdekt door Jonathan Leitschuh.

No results found

Vul je individuele e-mailadres in om meldingen te ontvangen van toekomstige Zoom-veiligheidsbulletins. (Opmerking: e-mailaliassen ontvangen deze meldingen niet.)