Veiligheidsbulletins
Veiligheidsbulletins
Zoom geeft individuele klanten geen begeleiding om met de gevolgen van kwetsbaarheden om te gaan naar aanleiding van een Zoom-veiligheidsbulletin en verstrekt individuele klanten geen extra details over kwetsbaarheden. We raden gebruikers aan om te updaten naar de nieuwste versie van hun Zoom-software, zodat ze beschikken over de meest recente oplossingen en beveiligingsverbeteringen.
| ZSB | Datum | Titel | Ernstniveau | CVE (indien van toepassing) | |
|---|---|---|---|---|---|
|
|
ZSB-24008 | 02/13/2024 | Zoom-desktopclient voor Windows, Zoom VDI-client voor Windows en Zoom Meeting SDK voor Windows - Onjuiste inputvalidatie | Kritisch | CVE-2024-24691 |
|
Ernstniveau: Kritisch CVSS-score: 9.6 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Beschrijving: Als gevolg van een onjuiste inputvalidatie in de Zoom-desktopclient voor Windows, de Zoom VDI-client voor Windows en de Zoom Meeting SDK voor Windows kan een niet-geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via netwerktoegang. Getroffen producten:
Bron: Gemeld door Zoom Offensive Security. |
|||||
|
|
ZSB-24007 | 02/13/2024 | Zoom-clients - Onjuiste inputvalidatie | Gemiddeld | CVE-2024-24690 |
|
Ernstniveau: Gemiddeld CVSS-score: 5.4 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
Beschrijving: Als gevolg van een onjuiste inputvalidatie in sommige Zoom-clients kan een geverifieerde gebruiker zorgen voor een denial-of-service via netwerktoegang. Getroffen producten:
Bron: Gemeld door Zoom Offensive Security. |
|||||
|
|
ZSB-24006 | 02/13/2024 | Zoom-clients - Bedrijfslogicafout | Gemiddeld | CVE-2024-24699 |
|
Ernstniveau: Gemiddeld CVSS-score: 6.5 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Beschrijving: Als gevolg van een bedrijfslogicafout in chatten tijdens vergadering voor sommige Zoom-clients kan een geverifieerde gebruiker zorgen voor een openbaarmaking van informatie via netwerktoegang. Getroffen producten:
Bron: Gemeld door Zoom Offensive Security. |
|||||
|
|
ZSB-24005 | 02/13/2024 | Zoom-clients - Onjuiste authenticatie | Gemiddeld | CVE-2024-24698 |
|
Ernstniveau: Gemiddeld CVSS-score: 4.9 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
Beschrijving: Als gevolg van een onjuiste authenticatie in sommige Zoom-clients kan een gebruiker met bevoegdheden zorgen voor een openbaarmaking van informatie via lokale toegang. Getroffen producten:
Bron: Gemeld door Zoom Offensive Security. |
|||||
|
|
ZSB-24004 | 02/13/2024 | Zoom-clients - Niet-vertrouwd zoekpad | Hoog | CVE-2024-24697 |
|
Ernstniveau: Hoog CVSS-score: 7.2 CVSS-vectorstring: CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
Beschrijving: Als gevolg van een niet-vertrouwd zoekpad in sommige Zoom 32-bits Windows-clients kan een geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via lokale toegang. Getroffen producten:
Bron: Gemeld door sim0nsecurity. |
|||||
|
|
ZSB-24003 | 02/13/2024 | Zoom-desktopclient voor Windows, Zoom VDI-client voor Windows en Zoom Meeting SDK voor Windows - Onjuiste inputvalidatie | Gemiddeld | CVE-2024-24696 |
|
Ernstniveau: Gemiddeld CVSS-score: 6.8 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N
Beschrijving: Als gevolg van een onjuiste inputvalidatie bij chatten tijdens de vergadering voor de Zoom-desktopclient voor Windows, de Zoom VDI-client voor Windows en de Zoom Meeting SDK voor Windows kan een geverifieerde gebruiker zorgen voor een openbaarmaking van informatie via netwerktoegang. Getroffen producten:
Bron: Gemeld door shmoul. |
|||||
|
|
ZSB-24002 | 02/13/2024 | Zoom-desktopclient voor Windows, Zoom VDI-client voor Windows en Zoom Meeting SDK voor Windows - Onjuiste inputvalidatie | Gemiddeld | CVE-2024-24695 |
|
Ernstniveau: Gemiddeld CVSS-score: 6.8 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N
Beschrijving: Als gevolg van een onjuiste inputvalidatie in de Zoom-desktopclient voor Windows, de Zoom VDI-client voor Windows en de Zoom Meeting SDK voor Windows kan een geverifieerde gebruiker zorgen voor een openbaarmaking van informatie via netwerktoegang. Getroffen producten:
Bron: Gemeld door shmoul. |
|||||
|
|
ZSB-24001 | 01/09/2024 | Zoom-desktopclient voor Windows, Zoom VDI-client voor Windows en Zoom Meeting SDK voor Windows - Onjuiste toegangscontrole | Kritisch | CVE-2023-49647 |
|
Ernstniveau: Kritisch CVSS-score: 8.8 CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Beschrijving: Als gevolg van een onjuiste toegangscontrole in de Zoom-desktopclient voor Windows, de Zoom VDI-client voor Windows en Zoom SDK's voor Windows vóór versie 5.16.10 kan een geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via lokale toegang. Getroffen producten:
Bron: Gemeld door sim0nsecurity. |
|||||
|
|
ZSB-23062 | 12/12/2023 | Zoom-clients - Onjuiste authenticatie | Kritisch | CVE-2023-49646 |
|
Ernstniveau: Kritisch CVSS-score: 5.4 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
Beschrijving: Als gevolg van een onjuiste authenticatie in sommige Zoom-clients vóór versie 5.16.5 kan een geverifieerde gebruiker zorgen voor een denial-of-service via netwerktoegang. Getroffen producten:
Bron: Gemeld door het Zoom Offensive Security Team. |
|||||
|
|
ZSB-23059 | 12/12/2023 | Zoom-desktopclient voor Windows, Zoom VDI-client voor Windows en Zoom Meeting SDK's voor Windows - Path traversal | Kritisch | CVE-2023-43586 |
|
Ernstniveau: Kritisch CVSS-score: 7.3 CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N
Beschrijving: Als gevolg van path traversal in de Zoom-desktopclient voor Windows, de Zoom VDI-client voor Windows en de Zoom SDK's voor Windows kan een geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via netwerktoegang. Getroffen producten:
Bron: Gemeld door shmoul. |
|||||
|
|
ZSB-23058 | 12/12/2023 | Zoom mobiele app voor iOS en SDK's voor iOS - Onjuiste toegangscontrole | Kritisch | CVE-2023-43585 |
|
Ernstniveau: Kritisch CVSS-score: 7.1 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L
Beschrijving: Als gevolg van een onjuiste toegangscontrole in de Zoom mobiele app voor iOS en Zoom SDK's voor iOS vóór versie 5.16.5 kan een geverifieerde gebruiker zorgen voor openbaarmaking van informatie via netwerktoegang. Getroffen producten:
Bron: Gemeld door het Zoom Offensive Security Team. |
|||||
|
|
ZSB-23056 | 12/12/2023 | Zoom mobiele app voor Android, Zoom mobiele app voor iOS en Zoom SDK's - Cryptografische problemen | Kritisch | CVE-2023-43583 |
|
Ernstniveau: Kritisch CVSS-score: 4.9 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
Beschrijving: Als gevolg van cryptografische problemen met de Zoom mobiele app voor Android, de Zoom mobiele app voor iOS en Zoom SDK's voor Android en iOS vóór versie 5.16.0 kan een gebruiker met bevoegdheden zorgen voor openbaarmaking van informatie via netwerktoegang. Getroffen producten:
Bron: Gemeld door het Zoom Offensive Security Team. |
|||||
|
|
ZSB-23055 | 11/14/2023 | Zoom-clients - Onjuiste autorisatie | Kritisch | CVE-2023-43582 |
|
Ernstniveau: Kritisch CVSS-score: 5.5 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L
Beschrijving: Als gevolg van een onjuiste autorisatie in sommige Zoom-clients kan een geautoriseerde gebruiker zorgen voor een escalatie van bevoegdheden via netwerktoegang. Getroffen producten:
Bron: Gemeld door het Zoom Offensive Security Team. |
|||||
|
|
ZSB-23054 | 11/14/2023 | Zoom Rooms voor macOS - Onjuist beheer van bevoegdheden | Kritisch | CVE-2023-43591 |
|
Ernstniveau: Kritisch CVSS-score: 7.8 CVSS-vectorstring: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Beschrijving: Als gevolg van een onjuist beheer van bevoegdheden in Zoom Rooms voor macOS vóór versie 5.16.0 kan een geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via lokale toegang. Getroffen producten:
Bron: Gemeld door Eugene Lim (spaceraccoon). |
|||||
|
|
ZSB-23053 | 11/14/2023 | Zoom Rooms voor macOS - Volgen van een link | Kritisch | CVE-2023-43590 |
|
Ernstniveau: Kritisch CVSS-score: 7.8 CVSS-vectorstring: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Beschrijving: Als het gevolg van volgen van een link in Zoom Rooms voor macOS vóór versie 5.16.0 kan een geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via lokale toegang. Getroffen producten:
Bron: Gemeld door Eugene Lim (spaceraccoon). |
|||||
|
|
ZSB-23052 | 11/14/2023 | Zoom-clients - Onvoldoende controleflowbeheer | Kritisch | CVE-2023-43588 |
|
Ernstniveau: Kritisch CVSS-score: 3.5 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N
Beschrijving: Als gevolg van onvoldoende controleflowbeheer in sommige Zoom-clients kan een geverifieerde gebruiker zorgen voor openbaarmaking van informatie via netwerktoegang. Getroffen producten:
Bron: Gemeld door het Zoom Offensive Security Team. |
|||||
|
|
ZSB-23051 | 11/14/2023 | Zoom-clients - Cryptografische problemen | Kritisch | CVE-2023-39199 |
|
Ernstniveau: Kritisch CVSS-score: 4.9 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
Beschrijving: Als gevolg van cryptografische problemen met chatten tijdens vergadering voor sommige Zoom-clients kan een gebruiker met bevoegdheden zorgen voor een openbaarmaking van informatie via netwerktoegang. Getroffen producten:
Bron: Gemeld door het Zoom Offensive Security Team. |
|||||
|
|
ZSB-23050 | 11/14/2023 | Zoom-clients - Overschrijding van bufferlimiet | Kritisch | CVE-2023-39206 |
|
Ernstniveau: Kritisch CVSS-score: 3.7 CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L
Beschrijving: Als gevolg van een overschrijding van de bufferlimiet in Zoom-clients kan een niet-geverifieerde gebruiker zorgen voor een denial-of-service via netwerktoegang. Getroffen producten:
Bron: Gemeld door het Zoom Offensive Security Team. |
|||||
|
|
ZSB-23049 | 11/14/2023 | Zoom-clients - Onjuiste controle van condities | Kritisch | CVE-2023-39205 |
|
Ernstniveau: Kritisch CVSS-score: 4.3 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Beschrijving: Als gevolg van een onjuiste controle van condities in Zoom Team Chat voor Zoom-clients kan een geverifieerde gebruiker zorgen voor een denial-of-service via netwerktoegang. Getroffen producten:
Bron: Gemeld door het Zoom Offensive Security Team. |
|||||
|
|
ZSB-23048 | 11/14/2023 | Zoom Clients - Overschrijding van bufferlimiet | Kritisch | CVE-2023-39204 |
|
Ernstniveau: Kritisch CVSS-score: 4.3 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L
Beschrijving: Als gevolg van een overschrijding van de bufferlimiet in Zoom-clients kan een niet-geverifieerde gebruiker zorgen voor een denial-of-service via netwerktoegang. Getroffen producten:
Bron: Gemeld door het Zoom Offensive Security Team. |
|||||
|
|
ZSB-23047 | 11/14/2023 | Zoom-desktopclient voor Windows en Zoom VDI-client - Ongecontroleerd resourceverbruik | Kritisch | CVE-2023-39203 |
|
Ernstniveau: Kritisch CVSS-score: 4.3 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L
Beschrijving: Als gevolg van ongecontroleerd resourceverbruik in Zoom Team Chat voor de Zoom-desktopclient voor Windows en Zoom en de Zoom VDI-client kan een niet-geverifieerde gebruiker zorgen voor openbaarmaking van informatie via netwerktoegang. Getroffen producten:
Bron: Gemeld door shmoul. |
|||||
|
|
ZSB-23046 | 11/14/2023 | Zoom Rooms-client voor Windows en Zoom VDI-client - Niet-vertrouwd zoekpad | Kritisch | CVE-2023-39202 |
|
Ernstniveau: Kritisch CVSS-score: 3.1 CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:L
Beschrijving: Als gevolg van een niet-vertrouwd zoekpad in de Zoom Rooms-client voor Windows en de Zoom VDI-client kan een gebruiker met bevoegdheden zorgen voor een denial-of-service via lokale toegang. Getroffen producten:
Bron: Gemeld door sim0nsecurity. |
|||||
|
|
ZSB-23045 | 09/12/2023 | CleanZoom - Niet-vertrouwd zoekpad | Kritisch | CVE-2023-39201 |
|
Ernstniveau: Kritisch CVSS-score: 7.2 CVSS-vectorstring: CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
Beschrijving: Als gevolg van een niet-vertrouwd zoekpad in CleanZoom vóór bestandsdatum 24/07/2023 kan een gebruiker met bevoegdheden zorgen voor een escalatie van bevoegdheden via lokale toegang. Getroffen producten:
Bron: Gemeld door sim0nsecurity. |
|||||
|
|
ZSB-23043 | 09/12/2023 | Zoom-desktopclient voor Linux - Onjuiste inputvalidatie | Kritisch | CVE-2023-39208 |
|
Ernstniveau: Kritisch CVSS-score: 6.5 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
Beschrijving: Als gevolg van een onjuiste inputvalidatie in de Zoom-desktopclient voor Linux vóór versie 5.15.10 kan een niet-geverifieerde gebruiker zorgen voor een denial-of-service via netwerktoegang. Getroffen producten:
Bron: Gemeld door Antoine Roly (aroly). |
|||||
|
|
ZSB-23040 | 09/12/2023 | Zoom-clients - Onjuiste authenticatie | Kritisch | CVE-2023-39215 |
|
Ernstniveau: Kritisch CVSS-score: 7.1 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:H
Beschrijving: Als gevolg van een onjuiste authenticatie in Zoom-clients kan een geverifieerde gebruiker zorgen voor een denial-of-service via netwerktoegang. Getroffen producten:
Bron: Gemeld door het Zoom Offensive Security Team. |
|||||
|
|
ZSB-23041 | 08/08/2023 | Zoom-desktopclient voor Windows - Onjuiste inputvalidatie | Kritisch | CVE-2023-39209 |
|
Ernstniveau: Kritisch CVSS-score: 5.9 CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L
Beschrijving: Als gevolg van een onjuiste inputvalidatie in de Zoom-desktopclient voor Windows vóór versie 5.15.5 kan een geverifieerde gebruiker ervoor zorgen dat informatie bekend wordt gemaakt via netwerktoegang. Getroffen producten:
Bron: Gemeld door het Zoom Offensive Security Team. |
|||||
|
|
ZSB-23039 | 08/08/2023 | Zoom-clients - Blootstelling van gevoelige informatie | Kritisch | CVE-2023-39214 |
|
Ernstniveau: Kritisch CVSS-score: 7.6 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H
Beschrijving: Als gevolg van blootstelling van gevoelige informatie in Zoom-clients vóór versie 5.15.5 kan een geverifieerde gebruiker zorgen voor een denial-of-service via netwerktoegang. Getroffen producten:
Bron: Gemeld door het Zoom Offensive Security Team. |
|||||
|
|
ZSB-23038 | 08/08/2023 | Zoom-desktopclient voor Windows en Zoom VDI-client - Onjuiste neutralisatie van speciale elementen | Kritisch | CVE-2023-39213 |
|
Ernstniveau: Kritisch CVSS-score: 9.6 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Beschrijving: Als gevolg van een onjuiste neutralisatie van speciale elementen in de Zoom-desktopclient voor Windows en de Zoom VDI-client kan een niet-geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via netwerktoegang. Getroffen producten:
Bron: Gemeld door het Zoom Offensive Security Team. |
|||||
|
|
ZSB-23037 | 08/08/2023 | Zoom Rooms voor Windows - Niet-vertrouwd zoekpad | Kritisch | CVE-2023-39212 |
|
Ernstniveau: Kritisch CVSS-score: 7.9 CVSS-vectorstring: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H
Beschrijving: Als gevolg van een niet-vertrouwd zoekpad in Zoom Rooms voor Windows vóór versie 5.15.5 kan een geverifieerde gebruiker zorgen voor een denial of service via lokale toegang. Getroffen producten:
Bron: Gemeld door sim0nsecurity. |
|||||
|
|
ZSB-23036 | 08/08/2023 | Zoom-desktopclient voor Windows en Zoom Rooms voor Windows - Onjuist beheer van bevoegdheden | Kritisch | CVE-2023-39211 |
|
Ernstniveau: Kritisch CVSS-score: 8.8 CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Beschrijving: Als gevolg van onjuist beheer van bevoegdheden in de Zoom-desktopclient voor Windows en Zoom Rooms voor Windows vóór versie 5.15.5 kan een geverifieerde gebruiker ervoor zorgen dat informatie bekend wordt gemaakt via lokale toegang. Getroffen producten:
Bron: Gemeld door sim0nsecurity. |
|||||
|
|
ZSB-23035 | 08/08/2023 | Zoom-client SDK voor Windows - Niet-versleutelde tekstopslag van gevoelige informatie | Kritisch | CVE-2023-39210 |
|
Ernstniveau: Kritisch CVSS-score: 5.5 CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Beschrijving: Als gevolg van niet-versleutelde tekstopslag van gevoelige informatie in de Zoom-client SDK voor Windows vóór versie 5.15.0 kan een geverifieerde gebruiker ervoor zorgen dat informatie bekend wordt gemaakt via lokale toegang. Getroffen producten:
Bron: Gemeld door sim0nsecurity. |
|||||
|
|
ZSB-23034 | 08/08/2023 | Zoom-clients - Afdwinging aan clientzijde van beveiliging aan serverzijde | Kritisch | CVE-2023-39218 |
|
Ernstniveau: Kritisch CVSS-score: 6.5 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
Beschrijving: Als gevolg van de afdwinging aan clientzijde van beveiliging aan serverzijde in Zoom-clients vóór versie 5.14.10 kan een bevoegde gebruiker ervoor zorgen dat informatie bekend wordt gemaakt via netwerktoegang. Getroffen producten:
Bron: Gemeld door het Zoom Offensive Security Team. |
|||||
|
|
ZSB-23033 | 08/08/2023 | Zoom-clients - Onjuiste inputvalidatie | Kritisch | CVE-2023-39217 |
|
Ernstniveau: Kritisch CVSS-score: 5.3 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Beschrijving: Als gevolg van onjuiste inputvalidatie in de Zoom-clients vóór versie 5.14.10 kan een niet-geverifieerde gebruiker zorgen voor een denial-of-service via netwerktoegang. Getroffen producten:
Bron: Gemeld door het Zoom Offensive Security Team. |
|||||
|
|
ZSB-23032 | 08/08/2023 | Zoom-desktopclient voor Windows - Onjuiste inputvalidatie | Kritisch | CVE-2023-39216 |
|
Ernstniveau: Kritisch CVSS-score: 9.6 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Beschrijving: Als gevolg van onjuiste inputvalidatie in de Zoom-desktopclient voor Windows vóór versie 5.14.7 kan een niet-geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via netwerktoegang. Getroffen producten:
Bron: Gemeld door het Zoom Offensive Security Team. |
|||||
|
|
ZSB-23031 | 08/08/2023 | Zoom-clients - Afdwinging aan clientzijde van beveiliging aan serverzijde | Kritisch | CVE-2023-36535 |
|
Ernstniveau: Kritisch CVSS-score: 7.1 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L
Beschrijving: Als gevolg van de afdwinging aan clientzijde van beveiliging aan serverzijde in Zoom-clients vóór versie 5.14.10 kan een geverifieerde gebruiker ervoor zorgen dat informatie bekend wordt gemaakt via netwerktoegang. Getroffen producten:
Bron: Gemeld door het Zoom Offensive Security Team. |
|||||
|
|
ZSB-23030 | 08/08/2023 | Zoom-desktopclient voor Windows - Path traversal | Kritisch | CVE-2023-36534 |
|
Ernstniveau: Kritisch CVSS-score: 9.3 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H
Beschrijving: Als gevolg van path traversal in de Zoom-desktopclient voor Windows vóór versie 5.14.7 kan een niet-geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via netwerktoegang. Getroffen producten:
Bron: Gemeld door het Zoom Offensive Security Team. |
|||||
|
|
ZSB-23029 | 08/08/2023 | Zoom SDK’s - Ongecontroleerd resourceverbruik | Kritisch | CVE-2023-36533 |
|
Ernstniveau: Kritisch CVSS-score: 7.1 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H
Beschrijving: Als gevolg van ongecontroleerd resourceverbruik in de Zoom SDK's vóór versie 5.14.7 kan een niet-geverifieerde gebruiker zorgen voor een denial of service via netwerktoegang. Getroffen producten:
Bron: Gemeld door het Zoom Offensive Security Team. |
|||||
|
|
ZSB-23028 | 08/08/2023 | Zoom Clients - Overschrijding van bufferlimiet | Kritisch | CVE-2023-36532 |
|
Ernstniveau: Kritisch CVSS-score: 5.9 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Beschrijving: Als gevolg van de overschrijding van de bufferlimiet in Zoom-clients vóór versie 5.14.5 kan een niet-geverifieerde gebruiker zorgen voor een denial of service via netwerktoegang. Getroffen producten:
Bron: Gemeld door het Zoom Offensive Security Team. |
|||||
|
|
ZSB-23027 | 08/08/2023 | Zoom-desktopclient voor Windows - Onvoldoende verificatie van de authenticiteit van gegevens | Kritisch | CVE-2023-36541 |
|
Ernstniveau: Kritisch CVSS-score: 8 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Beschrijving: Als gevolg van onvoldoende verificatie van de authenticiteit van gegevens in de Zoom-desktopclient voor Windows vóór versie 5.14.5 kan een geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via netwerktoegang. Getroffen producten:
Bron: Gemeld door sim0nsecurity. |
|||||
|
|
ZSB-23026 | 08/08/2023 | Zoom-desktopclient voor Windows - Niet-vertrouwd zoekpad | Kritisch | CVE-2023-36540 |
|
Ernstniveau: Kritisch CVSS-score: 7.3 CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L
Beschrijving: Als gevolg van een niet-vertrouwd zoekpad in het installatieprogramma voor de Zoom-desktopclient voor Windows vóór versie 5.14.5 kan een geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via lokale toegang. Getroffen producten:
Bron: Gemeld door sim0nsecurity. |
|||||
|
|
ZSB-23024 | 07/11/2023 | Onjuiste toegangscontrole | Kritisch | CVE-2023-36538 |
|
Ernstniveau: Kritisch CVSS-score: 8.4 CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H
Beschrijving: Als gevolg van onjuiste toegangscontrole in Zoom Rooms voor Windows vóór versie 5.15.0 kan een geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via lokale toegang. Getroffen producten:
Bron: Gemeld door sim0nsecurity. |
|||||
|
|
ZSB-23023 | 07/11/2023 | Onjuist beheer van bevoegdheden | Kritisch | CVE-2023-36537 |
|
Ernstniveau: Kritisch CVSS-score: 7.3 CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L
Beschrijving: Als gevolg van een onjuist beheer van bevoegdheden in Zoom Rooms voor Windows vóór versie 5.14.5 kan een geverifieerde gebruiker zorgen voor een escalatie van bevoegdheden via lokale toegang. Getroffen producten:
Bron: Gemeld door sim0nsecurity |
|||||
|
|
ZSB-22033 | 01/06/2023 | Path traversal in Zoom voor Android-clients | Kritisch | CVE-2022-36928 |
|
Ernstniveau: Kritisch CVSS-score: 6.1 CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
Beschrijving: Zoom voor Android-clients vóór versie 5.13.0 bevatten een kwetsbaarheid met betrekking tot path traversal. Een externe app kan deze kwetsbaarheid misbruiken om te lezen en schrijven naar de map met Zoom-toepassingsgegevens. Getroffen producten:
Bron: Gemeld door Dimitrios Valsamaras van Microsoft |
|||||
|
|
ZSB-22032 | 01/06/2023 | Lokale escalatie van bevoegdheden in Zoom Rooms voor macOS-clients | Kritisch |
CVE-2022-36926 CVE-2022-36927 |
|
Ernstniveau: Kritisch CVSS-score: 8.8 CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Beschrijving: Zoom Rooms voor macOS-clients vóór versie 5.11.3 bevatten een kwetsbaarheid met betrekking tot de lokale escalatie van bevoegdheden. Een lokale gebruiker met weinig bevoegdheden kan deze kwetsbaarheid misbruiken om zijn/haar bevoegdheden te escaleren naar root. Getroffen producten:
Bron: Gemeld door Kirin (Pwnrin) |
|||||
|
|
ZSB-22031 | 01/06/2023 | Genereren van onveilige sleutel voor Zoom Rooms voor macOS-clients | Kritisch | CVE-2022-36925 |
|
Ernstniveau: Kritisch CVSS-score: 4.4 CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
Beschrijving: Zoom Rooms voor macOS-clients vóór versie 5.11.4 bevatten een mechanisme dat een onveilige sleutel genereert. De coderingssleutel die wordt gebruikt voor interprocescommunicatie tussen de Zoom Rooms-daemonservice en de Zoom Rooms-client werd gegenereerd met behulp van parameters die konden worden verkregen door een lokale toepassing met weinig bevoegdheden. Die sleutel kan vervolgens worden gebruikt voor interactie met de daemonservice met als doel functies met een hoog niveau van bevoegdheden uit te voeren en een lokale denial-of-service te veroorzaken. Getroffen producten:
Bron: Gemeld door Kirin (Pwnrin) |
|||||
|
|
ZSB-22030 | 11/15/2022 | Lokale escalatie van bevoegdheden in Zoom Rooms-installatieprogramma voor Windows | Kritisch | CVE-2022-36924 |
|
Ernstniveau: Kritisch CVSS-score: 8.8 CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Beschrijving: Het Zoom Rooms-installatieprogramma voor Windows vóór versie 5.12.6 bevat een kwetsbaarheid met betrekking tot de lokale escalatie van bevoegdheden. Een lokale gebruiker met weinig bevoegdheden kan deze kwetsbaarheid tijdens de installatieprocedure misbruiken om zijn/haar bevoegdheden te escaleren naar de SYSTEM-gebruiker. Getroffen producten:
Bron: Gemeld door sim0nsecurity |
|||||
|
|
ZSB-22029 | 11/15/2022 | Lokale escalatie van bevoegdheden in Zoom Client-installatieprogramma voor macOS | Kritisch | CVE-2022-28768 |
|
Ernstniveau: Kritisch CVSS-score: 8.8 CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Beschrijving: Het Zoom Client for Meetings-installatieprogramma voor macOS (standaard en voor IT-beheerders) vóór versie 5.12.6 bevat een kwetsbaarheid met betrekking tot de lokale escalatie van bevoegdheden. Een lokale gebruiker met weinig bevoegdheden kan deze kwetsbaarheid tijdens de installatieprocedure misbruiken om zijn/haar bevoegdheden te escaleren naar root. Getroffen producten:
Bron: Gemeld door Koh M. Nakagawa (tsunekoh) |
|||||
|
|
ZSB-22027 | 11/15/2022 | DLL-injectie in Zoom Windows-clients | Kritisch | CVE-2022-28766 |
|
Ernstniveau: Kritisch CVSS-score: 8.1 CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L
Beschrijving: Windows 32-bitversies van de Zoom Client for Meetings vóór versie 5.12.6 en Zoom Rooms voor vergaderruimtes vóór versie 5.12.6 zijn gevoelig voor een kwetsbaarheid met betrekking tot een DLL-injectie. Een lokale gebruiker met weinig bevoegdheden kan deze kwetsbaarheid misbruiken om willekeurige code uit te voeren binnen de context van de Zoom-client. Getroffen producten:
Bron: Gemeld door sim0nsecurity |
|||||
|
|
ZSB-22025 | 11/10/2022 | Blootstelling van lokale informatie in Zoom-clients | Kritisch | CVE-2022-28764 |
|
Ernstniveau: Kritisch CVSS-score: 3.3 CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Beschrijving: De Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.12.6 is vatbaar voor een kwetsbaarheid met betrekking tot blootstelling van lokale informatie. Getroffen producten:
Bron: Gemeld door Christian Zäske van SySS GmbH |
|||||
|
|
ZSB-22024 | 10/24/2022 | Verkeerde URL-parsering in Zoom-clients | Kritisch | CVE-2022-28763 |
|
Ernstniveau: Kritisch CVSS-score: 8.8 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Beschrijving: De Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.12.2 is vatbaar voor een kwetsbaarheid in het parseren van URL's. Als een schadelijke Zoom-vergadering-URL wordt geopend, kan deze schadelijke link de gebruiker verbinding laten maken met een willekeurig netwerkadres, wat tot extra aanvallen kan leiden, waaronder overnames van sessies. Getroffen producten:
Bron: Gemeld door Zoom Security Team |
|||||
|
|
ZSB-22023 | 10/11/2022 | Verkeerde configuratie van debugpoort in Zoom Apps in de Zoom Client for Meetings voor macOS | Kritisch | CVE-2022-28762 |
|
Ernstniveau: Kritisch CVSS-score: 7.3 CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
Beschrijving: Zoom Client for Meetings voor macOS (standaard en voor IT-beheerders) vanaf versie 5.10.6 en vóór versie 5.12.0 bevat een verkeerde configuratie van een debugpoort. Wanneer de weergavecontext van de cameramodus is ingeschakeld als onderdeel van de Zoom App Layers API door bepaalde Zoom Apps uit te voeren, wordt een lokale debugpoort geopend door de Zoom-client. Een lokale kwaadwillende gebruiker kan deze debugpoort gebruiken om verbinding te maken met en controle uit te oefenen over de Zoom Apps die in de Zoom-client worden uitgevoerd. Getroffen producten:
Bron: Gemeld door Zoom Security Team |
|||||
|
|
ZSB-22022 | 10/11/2022 | Lokale Zoom-implementaties: ongeschikte toegangscontrole | Kritisch | CVE-2022-28761 |
|
Ernstniveau: Kritisch CVSS-score: 6.5 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Beschrijving: Zoom On-Premise Meeting Connector MMR vóór versie 4.8.20220916.131 bevat een kwetsbaarheid met betrekking tot ongeschikte toegangscontrole. Als gevolg hiervan kan een kwaadwillende persoon, wanneer deze toestemming heeft gekregen voor deelname aan een vergadering of webinar, voorkomen dat deelnemers audio en video ontvangen, waardoor de vergadering wordt verstoord. Getroffen producten:
Bron: Gemeld door Zoom Offensive Security Team |
|||||
|
|
ZSB-22021 | 09/13/2022 | Lokale Zoom-implementaties: ongeschikte toegangscontrole | Kritisch | CVE-2022-28760 |
|
Ernstniveau: Kritisch CVSS-score: 6.5 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Beschrijving: Zoom On-Premise Meeting Connector MMR vóór versie 4.8.20220815.130 bevat een kwetsbaarheid met betrekking tot ongeschikte toegangscontrole. Als gevolg hiervan kan een kwaadwillige persoon deelnemen aan een vergadering zonder zichtbaar te zijn voor de andere deelnemers wanneer deze persoon toestemming heeft gekregen voor deelname. Getroffen producten:
Bron: Gemeld door Zoom Offensive Security Team |
|||||
|
|
ZSB-22020 | 09/13/2022 | Lokale Zoom-implementaties: ongeschikte toegangscontrole | Kritisch |
CVE-2022-28758 CVE-2022-28759 |
|
Ernstniveau: Kritisch CVSS-score: 8.2 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Beschrijving: Zoom On-Premise Meeting Connector MMR vóór versie 4.8.20220815.130 bevat een kwetsbaarheid met betrekking tot ongeschikte toegangscontrole. Als gevolg hiervan kan een kwaadwillige persoon toegang krijgen tot de audio- en videofeed van een vergadering waaraan deze persoon niet mag deelnemen en andere verstoringen van de vergadering veroorzaken. Getroffen producten:
Bron: Gemeld door Zoom Security Team |
|||||
|
|
ZSB-22019 | 08/17/2022 | Lokale escalatie van bevoegdheden in Automatische updater voor Zoom Client for Meetings voor macOS | Kritisch | CVE-2022-28757 |
|
Ernstniveau: Kritisch CVSS-score: 8.8 CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Beschrijving: De Zoom Client for Meetings voor macOS (standaard en voor IT-beheerders) vanaf versie 5.7.3 en vóór versie 5.11.6 bevat een kwetsbaarheid in het proces voor automatisch updaten. Een lokale gebruiker met weinig bevoegdheden kan deze kwetsbaarheid misbruiken om zijn/haar bevoegdheden te escaleren naar root. Getroffen producten:
Bron: Gemeld door Csaba Fitzl (theevilbit) van Offensive Security |
|||||
|
|
ZSB-22018 | 08/13/2022 | Lokale escalatie van bevoegdheden in Automatische updater voor macOS Zoom-producten [Updated 2022-09-13] | Kritisch | CVE-2022-28756 |
|
Ernstniveau: Kritisch CVSS-score: 8.8 CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Beschrijving: De Zoom Client for Meetings voor macOS (standaard en voor IT-beheerders) vanaf versie 5.7.3 en vóór versie 5.11.5 en Zoom Rooms voor vergaderzalen voor macOS vóór versie 5.11.6 bevat een kwetsbaarheid in het proces voor automatisch updaten. Een lokale gebruiker met weinig bevoegdheden kan deze kwetsbaarheid misbruiken om zijn/haar bevoegdheden te escaleren naar root. Getroffen producten:
Bron: Gemeld door Patrick Wardle van Objective-See |
|||||
|
|
ZSB-22017 | 08/09/2022 | Lokale escalatie van bevoegdheden in Zoom Client for Meetings voor macOS | Kritisch | CVE-2022-28751 |
|
Ernstniveau: Kritisch CVSS-score: 8.8 CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Beschrijving: De Zoom Client for Meetings voor macOS (standaard en voor IT-beheerders) vóór versie 5.11.3 bevat een kwetsbaarheid in de validatie van de pakkethandtekening tijdens het updateproces. Een lokale gebruiker met weinig bevoegdheden kan deze kwetsbaarheid misbruiken om zijn/haar bevoegdheden te escaleren naar root. Getroffen producten:
Bron: Gemeld door Patrick Wardle van Objective-See |
|||||
|
|
ZSB-22014 | 08/09/2022 | Lokale Zoom-implementaties: ongeschikte toegangscontrole | Kritisch |
CVE-2022-28753 CVE-2022-28754 |
|
Ernstniveau: Kritisch CVSS-score: 7.1 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N
Beschrijving: Zoom On-Premise Meeting Connector MMR vóór versie 4.8.129.20220714 bevat een kwetsbaarheid met betrekking tot ongeschikte toegangscontrole. Als gevolg hiervan kan een kwaadwillige persoon, wanneer deze toestemming heeft gekregen voor deelname aan een vergadering, deelnemen aan die vergadering zonder zichtbaar te zijn voor de andere deelnemers, zichzelf vanuit de wachtruimte in de vergadering toelaten, host worden en andere verstoringen van de vergadering veroorzaken. Getroffen producten:
Bron: Gemeld door Zoom Offensive Security Team |
|||||
|
|
ZSB-22016 | 08/09/2022 | Verkeerde URL-parsering in Zoom-clients [Updated 2022-10-24] | Kritisch | CVE-2022-28755 |
|
Ernstniveau: Kritisch CVSS-score: 9.6 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Beschrijving: De Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.11.0 is vatbaar voor een kwetsbaarheid in het parseren van URL's. Als een schadelijke Zoom-vergadering-URL wordt geopend, kan deze schadelijke link de gebruiker verbinding laten maken met een willekeurig netwerkadres, wat leidt tot extra aanvallen, waaronder het uitvoeren van externe code door uitvoerbare bestanden te starten vanaf willekeurige paden. Getroffen producten:
Bron: Gemeld door Zoom Offensive Security Team |
|||||
|
|
ZSB-22012 | 08/09/2022 | Lokale Zoom-implementaties: overschrijding van stackbufferlimiet in Meeting Connector | Kritisch | CVE-2022-28750 |
|
Ernstniveau: Kritisch CVSS-score: 7.5 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Beschrijving: De Zone Controller (ZC) van Zoom On-Premise Meeting Connector vóór versie 4.8.20220419.112 slaagt er niet in om STUN-foutcodes correct te parseren, wat kan leiden tot geheugenbeschadiging en waardoor een kwaadwillige persoon de kans kan krijgen de toepassing te laten crashen. In versies ouder dan 4.8.12.20211115 kan deze kwetsbaarheid ook worden misbruikt om willekeurige code uit te voeren. Getroffen producten:
Bron: Gemeld door Zoom Offensive Security Team |
|||||
|
|
ZSB-22011 | 06/14/2022 | Onvoldoende autorisatiecontrole tijdens deelname aan vergadering | Kritisch | CVE-2022-28749 |
|
Ernstniveau: Kritisch CVSS-score: 6.5 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Beschrijving: De lokale vergaderingsconnector van Zoom MMR vóór versie 4.8.113.20220526 controleert de machtigingen van een deelnemer aan een Zoom-vergadering niet goed. Als gevolg hiervan kan een persoon die een bedreiging vormt in de wachtruimte van Zoom deelnemen aan de vergadering zonder toestemming van de gastheer. Getroffen producten:
Bron: Gemeld door Zoom Offensive Security Team |
|||||
|
|
ZSB- 22010 | 06/14/2022 | DLL-injectie in Zoom Opener-installatieprogramma voor Zoom- en Zoom Rooms-clients | Kritisch | CVE-2022-22788 |
|
Ernstniveau: Kritisch CVSS-score: 7.1 CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
Beschrijving: Het Zoom Opener-installatieprogramma wordt door een gebruiker gedownload van de pagina Vergadering starten wanneer wordt geprobeerd deel te nemen aan een vergadering zonder dat de Zoom Meeting Client is geïnstalleerd. Het Zoom Opener-installatieprogramma voor Zoom Client for Meetings vóór versie 5.10.3 en Zoom Rooms for Conference Room voor Windows vóór versie 5.10.3 zijn gevoelig voor een DLL-injectieaanval. Deze kwetsbaarheid kan worden gebruikt om willekeurige code uit te voeren op de host van het slachtoffer. Getroffen producten:
Bron: Gemeld door James Tsz Ko Yeung |
|||||
|
|
ZSB-22009 | 05/17/2022 | Onvoldoende hostnaamvalidatie tijdens serverswitch in Zoom Client for Meetings | Kritisch | CVE-2022-22787 |
|
Ernstniveau: Kritisch CVSS-score: 5.9 CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L
Beschrijving: De Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.10.0 kan de hostnaam niet correct valideren tijdens een serverswitchaanvraag. Dit probleem kan worden gebruikt bij een meer geavanceerde aanval om de client van een nietsvermoedende gebruiker te misleiden om verbinding te maken met een schadelijke server wanneer u Zoom-diensten probeert te gebruiken. Getroffen producten:
Bron: Gemeld door Ivan Fratric van Google Project Zero |
|||||
|
|
ZSB-22008 | 05/17/2022 | Downgrade van updatepakket in Zoom Client for Meetings voor Windows | Kritisch | CVE-2022-22786 |
|
Ernstniveau: Kritisch CVSS-score: 7.5 CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Beschrijving: De Zoom Client for Meetings voor Windows vóór versie 5.10.0 en Zoom Rooms for Conference Room voor Windows vóór versie 5.10.0 kan de installatieversie niet correct controleren tijdens het updateproces. Dit probleem kan worden gebruikt bij een meer geavanceerde aanval om een gebruiker te misleiden om zijn Zoom-client te downgraden naar een minder veilige versie. Getroffen producten:
Bron: Gemeld door Ivan Fratric van Google Project Zero |
|||||
|
|
ZSB-22007 | 05/17/2022 | Onjuist beperkte sessiecookies in Zoom Client for Meetings | Kritisch | CVE-2022-22785 |
|
Ernstniveau: Kritisch CVSS-score: 5.9 CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L
Beschrijving: De Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.10.0 kan clientsessiecookies niet correct beperken tot Zoom-domeinen. Dit probleem kan worden gebruikt bij een meer geavanceerde aanval om de Zoom-scoped sessiecookies van een gebruiker naar een niet-Zoom-domein te sturen. Dit kan mogelijk spoofing van een Zoom-gebruiker mogelijk maken. Getroffen producten:
Bron: Gemeld door Ivan Fratric van Google Project Zero |
|||||
|
|
ZSB- 22006 | 05/17/2022 | Onjuiste XML-parsering in Zoom Client for Meetings | Kritisch | CVE-2022-22784 |
|
Ernstniveau: Kritisch CVSS-score: 8.1 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Beschrijving: De Zoom Client for Meetings (voor Android, iOS, Linux, macOS en Windows) vóór versie 5.10.0 kan XML-strofen in XMPP-berichten niet correct parseren. Hierdoor kan een kwaadwillende gebruiker uit de huidige XMPP-berichtcontext breken en een nieuwe berichtcontext maken om de client van de ontvangende gebruiker verschillende acties te laten uitvoeren. Dit probleem kan worden gebruikt bij een meer geavanceerde aanval om XMPP-berichten van de server te vervalsen. Getroffen producten:
Bron: Gemeld door Ivan Fratric van Google Project Zero |
|||||
|
|
ZSB- 22005 | 04/27/2022 | Blootstelling van procesgeheugen in lokale Zoom Meeting-diensten | Kritisch | CVE-2022-22783 |
|
Ernstniveau: Kritisch CVSS-score: 8.3 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/CR:H
Beschrijving: Een beveiligingslek in Zoom On-Premise Meeting Connector Controller versie 4.8.102.20220310 en On-Premise Meeting Connector MMR versie 4.8.102.20220310 stelt procesgeheugenfragmenten bloot aan verbonden clients, die kunnen worden waargenomen door een passieve aanvaller. Getroffen producten:
Bron: Zoom Offensive Security Team |
|||||
|
|
ZSB-22004 | 04/27/2022 | Lokale escalatie van bevoegdheden in Windows Zoom Clients | Kritisch | CVE-2022-22782 |
|
Ernstniveau: Kritisch CVSS-score: 7.9 CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H
Beschrijving: De Zoom Client for Meetings voor Windows vóór versie 5.9.7, Zoom Rooms for Conference Room voor Windows vóór versie 5.10.0, Zoom Plugins voor Microsoft Outlook voor Windows vóór versie 5.10.3 en Zoom VDI Windows Meeting Clients vóór versie 5.9.6; waren gevoelig voor een probleem met lokale escalatie van bevoegdheden tijdens de reparatie van het installatieprogramma. Een kwaadwillend persoon kan dit gebruiken om mogelijk bestanden of mappen op systeemniveau te verwijderen, waardoor integriteits- of beschikbaarheidsproblemen op de hostcomputer van de gebruiker ontstaan. Getroffen producten:
Bron: Gemeld door het Zero Day Initiative |
|||||
|
|
ZSB-22003 | 04/27/2022 | Downgrade van updatepakket in Zoom Client for Meetings voor macOS | Kritisch | CVE-2022-22781 |
|
Ernstniveau: Kritisch CVSS-score: 7.5 CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Beschrijving: De Zoom Client for Meetings voor macOS (standaard en voor IT-beheerders) vóór versie 5.9.6 kan de pakketversie niet goed controleren tijdens het updateproces. Dit kan ervoor zorgen dat een kwaadwillende persoon de momenteel geïnstalleerde versie van een nietsvermoedende gebruiker kan bijwerken naar een minder veilige versie. Getroffen producten:
Bron: Gemeld door Patrick Wardle van Objective-See |
|||||
|
|
ZSB-22002 | 02/08/2022 | Zoom Team Chat gevoelig voor decompressiebommen | Kritisch | CVE-2022-22780 |
|
Ernstniveau: Kritisch CVSS-score: 4.7 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L
Beschrijving: De chatfunctie van de Zoom Client for Meetings was gevoelig voor aanvallen met Zip bombing in de volgende productversies: Android voor versie 5.8.6, iOS voor versie 5.9.0, Linux voor versie 5.8.6, macOS voor versie 5.7.3 en Windows voor versie 5.6.3. Dit kan leiden tot beschikbaarheidsproblemen op de clienthost door systeembronnen uit te putten. Getroffen producten:
Bron: Gemeld door Johnny Yu van Walmart Global Tech |
|||||
|
|
ZSB-22001 | 02/08/2022 | Bewaarde geëxplodeerde berichten in Keybase-clients voor macOS en Windows | Kritisch | CVE-2022-22779 |
|
Ernstniveau: Kritisch CVSS-score: 3.7 CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Beschrijving: De Keybase-clients voor macOS en Windows vóór versie 5.9.0 kunnen uigeklapte berichten die door een gebruiker zijn gestart, niet correct verwijderen. Dit kan gebeuren als de ontvangende gebruiker overschakelt naar een niet-chatfunctie en de host in een slaapstand plaatst voordat de verzendende gebruiker de berichten uitklapt. Dit kan leiden tot openbaarmaking van gevoelige informatie die uit het bestandssysteem van een gebruiker moest worden verwijderd. Getroffen producten:
Bron: Gemeld door Olivia O'Hara |
|||||
|
|
ZSB-21022 | 12/14/2021 | Willekeurige uitvoering van opdrachten in Keybase Client voor Windows | Kritisch | CVE-2021-34426 |
|
Ernstniveau: Kritisch CVSS-score: 5.3 CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
Beschrijving: Er is een kwetsbaarheid ontdekt in de Keybase Client voor Windows vóór versie 5.6.0 toen een gebruiker de opdracht "keybase git lfs-config" op de opdrachtregel uitvoerde. In versies vóór 5.6.0 kan een kwaadwillende persoon met schrijftoegang tot de Git-opslagplaats van een gebruiker dit beveiligingslek gebruiken om mogelijk willekeurige Windows-opdrachten uit te voeren op het lokale systeem van een gebruiker. Getroffen producten:
Bron: Gemeld door RyotaK |
|||||
|
|
ZSB-21021 | 12/14/2021 | Vervalsing verzoek serverzijde in chat van Zoom Client for Meetings | Kritisch | CVE-2021-34425 |
|
Ernstniveau: Kritisch CVSS-score: 4.7 CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N
Beschrijving: De Zoom Client for Meetings vóór versie 5.7.3 (voor Android, iOS, Linux, macOS en Windows) bevat een kwetsbaarheid voor vervalsing van verzoeken aan de serverzijde in de functie "link preview" van de chat. In versies vóór 5.7.3, als een gebruiker de functie "link preview" van de chat inschakelt, kan een kwaadwillende persoon de gebruiker misleiden om mogelijk willekeurige HTTP GET-verzoeken te verzenden naar URL's die de acteur niet rechtstreeks kan bereiken. Getroffen producten:
Bron: Gemeld door Johnny Yu van Walmart Global Tech |
|||||
|
|
ZSB-21020 | 11/24/2021 | Blootstelling procesgeheugen in Zoom Client en andere producten | Kritisch | CVE-2021-34424 |
|
Ernstniveau: Kritisch CVSS-score: 5.3 CVSS-vectorstring: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Beschrijving: Er werd een kwetsbaarheid ontdekt in de producten die worden vermeld in de sectie 'Getroffen producten' van dit bulletin, waardoor de status van het procesgeheugen mogelijk is blootgesteld. Dit probleem kan worden gebruikt om mogelijk inzicht te krijgen in willekeurige gebieden van het geheugen van het product. Getroffen producten:
Bron: Gemeld door Natalie Silvanovich van Google Project Zero |
|||||
|
|
ZSB-21019 | 11/24/2021 | Bufferoverloop in Zoom Client en andere producten | Kritisch | CVE-2021-34423 |
|
Ernstniveau: Kritisch CVSS-score: 7.3 CVSS-vectorstring: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Beschrijving: Er werd een kwetsbaarheid voor bufferoverloop ontdekt in de producten vermeld onder 'Getroffen producten' van dit bulletin. Hierdoor kan een kwaadwillige persoon de service of app laten crashen of dit beveiligingslek gebruiken om willekeurige code uit te voeren. Getroffen producten:
Bron: Bron: Gemeld door Natalie Silvanovich van Google Project Zero |
|||||
|
|
ZSB-21018 | 11/09/2021 | Path traversal van bestandsnaam in Keybase Client voor Windows | Kritisch | CVE-2021-34422 |
|
Ernstniveau: Kritisch CVSS-score: 7.2 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
Beschrijving: De Keybase Client voor Windows vóór versie 5.7.0 bevat een kwetsbaarheid voor path traversal bij het controleren van de bestandsnaam geüpload naar een teammap. Een kwaadwillige gebruiker kan een bestand uploaden naar een gedeelde map met een speciaal vervaardigde bestandsnaam waarmee een gebruiker een toepassing kan uitvoeren die niet bedoeld was op zijn hostcomputer. Als een kwaadwillige gebruiker dit probleem heeft gebruikt met de functie voor het delen van openbare mappen van de Keybase-client, kan dit leiden tot uitvoering van externe code. Getroffen producten:
Bron: Gemeld door m4t35z |
|||||
|
|
ZSB-21017 | 11/09/2021 | Bewaarde uitgeklapte berichten in Keybase-clients voor Android en iOS | Kritisch | CVE-2021-34421 |
|
Ernstniveau: Kritisch CVSS-score: 3.7 CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Beschrijving: De Keybase Client voor Android vóór versie 5.8.0 en de Keybase Client voor iOS vóór versie 5.8.0 kunnen uitgeklapte berichten die door een gebruiker zijn gestart niet correct verwijderen als de ontvangende gebruiker de chatsessie op de achtergrond plaatst terwijl de verzendende gebruiker de berichten uitklapt. Dit kan leiden tot openbaarmaking van gevoelige gegevens die van het apparaat van de klant moest worden verwijderd. Getroffen producten:
Bron: Gemeld door Olivia O'Hara, John Jackson, Jackson Henry en Robert Willis |
|||||
|
|
ZSB-21016 | 11/09/2021 | Omzeiling uitvoerbare handtekening Zoom Windows-installatie | Kritisch | CVE-2021-34420 |
|
Ernstniveau: Kritisch CVSS-score: 4.7 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N
Beschrijving: Het installatieprogramma Zoom Client for Meetings voor Windows vóór versie 5.5.4 controleert de handtekening van bestanden met de extensie .msi, .ps1 en .bat niet goed. Dit kan ertoe leiden dat een kwaadwillige persoon schadelijke software op de computer van een klant installeert. Getroffen producten:
Bron: Gemeld Laurent Delosieres van ManoMano |
|||||
|
|
ZSB-21015 | 11/09/2021 | HTML-injectie in Zoom Linux-client | Kritisch | CVE-2021-34419 |
|
Ernstniveau: Kritisch CVSS-score: 3.7 CVSS-vectorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
Beschrijving: In de Zoom Client for Meetings voor Ubuntu Linux vóór versie 5.1.0 is er een HTML-injectiefout bij het verzenden van een verzoek voor externe controle naar een gebruiker tijdens het delen van schermen in de vergadering. Hierdoor kunnen deelnemers aan de vergadering het doelwit zijn van social engineering-aanvallen. Getroffen producten:
Bron: Gemeld door Danny de Weille en Rick Verdoes van hackdefense |
|||||
|
|
ZSB-21014 | 11/09/2021 | Crash Pre-auth Null in lokale webconsole | Kritisch | CVE-2021-34418 |
|
Ernstniveau: Kritisch CVSS-score: 4.0 CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L Beschrijving: De aanmelddienst van de webconsole voor de producten vermeld in de sectie 'Getroffen producten' van dit bulletin, kan niet valideren dat er een NULL-byte is verzonden tijdens de verificatie. Dit kan leiden tot een crash van de inlogservice. Getroffen producten:
Bron: Gemeld door Jeremy Brown |
|||||
|
|
ZSB-21013 | 11/09/2021 | Geverifieerde uitvoering van opdrachten op afstand met rootrechten via webconsole in MMR | Kritisch | CVE-2021-34417 |
|
Ernstniveau: Kritisch CVSS-score: 7.9 CVSS-vectorstring: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N Beschrijving: De netwerkproxypagina op de web portal voor de producten vermeld onder 'Getroffen producten' van dit bulletin, kan de input niet valideren die wordt verzonden in verzoeken voor het instellen van het wachtwoord van de netwerkproxy. Dit kan leiden tot het op afstand injecteren van opdrachten door een web portal-beheerder. Getroffen producten:
Bron: Gemeld door Jeremy Brown |
|||||
|
|
ZSB-21012 | 09/30/2021 | Uitvoering van externe code tegen lokale afbeeldingen via het web portal | Kritisch | CVE-2021-34416 |
|
Ernstniveau: Kritisch CVSS-score: 5.5 CVSS-vectorstring: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N Beschrijving: Het web portal voor beheerinstellingen voor netwerkadressen voor de lokale Zoom Meeting Connector vóór versie 4.6.360.20210325, lokale Zoom Meeting Connector MMR vóór versie 4.6.360.20210325, lokale Zoom Recording Connector vóór versie 3.8.44.20210326, lokale Zoom Virtual Room Connector vóór versie 4.4.6752.20210326 en lokale Zoom Virtual Room Connector Load Balancer vóór versie 2.5.5495.20210326 kan de input verzonden in verzoeken om de netwerkconfiguratie bij te werken niet valideren. Dit kan leiden tot externe opdrachtinjectie op de lokale image door de web portal-beheerders. Getroffen producten:
Bron: Gemeld door Egor Dimitrenko van Positive Technologies |
|||||
|
|
ZSB-21011 | 09/30/2021 | ZC crasht bij het gebruik van een PDU die veel allocaties veroorzaakt | Kritisch | CVE-2021-34415 |
|
Ernstniveau: Kritisch CVSS-score: 7.5 CVSS-vectorstring: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H Beschrijving: De Zone Controller-dienst in de lokale Zoom Meeting Connector Controller vóór versie 4.6.358.20210205 controleert het cnt-veld verzonden in binnenkomende netwerkpakketten niet. Dit leidt tot uitputting van bronnen en systeemcrash. Getroffen producten:
Bron: Gemeld door Nikita Abramov van Positive Technologies |
|||||
|
|
ZSB-21010 | 09/30/2021 | Uitvoering van externe code tegen Meeting Connector-server via web portal-netwerkproxyconfiguratie | Kritisch | CVE-2021-34414 |
|
Ernstniveau: Kritisch CVSS-score: 7.2 CVSS-vectorstring: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H Beschrijving: De netwerkproxypagina op de web portal voor de lokale Zoom Meeting Connector Controller vóór versie 4.6.348.20201217, lokale Zoom Meeting Connector MMR vóór versie 4.6.348.20201217, lokale Zoom Recording Connector vóór versie 3.8.42.20200905, lokale Zoom Virtual Room Connector vóór versie 4.4.6620.20201110 en lokale Zoom Virtual Room Connector Load Balancer vóór versie 2.5.5495.20210326 kan input verzonden in verzoeken om de netwerkproxyconfiguratie bij te werken niet valideren. Dit kan leiden tot het op afstand injecteren van opdrachten op de lokale image door een web portal-beheerder. Getroffen producten:
Bron: Gemeld door Egor Dimitrenko van Positive Technologies |
|||||
|
|
ZSB-21009 | 09/30/2021 | Lokale escalatie van bevoegdheden van macOS Outlook Plugin-installatieprogramma | Kritisch | CVE-2021-34413 |
|
Ernstniveau: Kritisch CVSS-score: 2.8 CVSS-vectorstring: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N Beschrijving: Alle versies van de Zoom Plugin for Microsoft Outlook voor macOS vóór 5.3.52553.0918 bevatten een Time-of-check Time-of-use (TOC/TOU)-kwetsbaarheid tijdens het installatieproces van de plug-in. Hierdoor kan een standaard gebruiker zijn eigen schadelijke toepassing schrijven naar de map met plug-ins, waardoor de schadelijke toepassing met bevoegdheden kan worden uitgevoerd. Getroffen producten:
Bron: Gemeld door het Lockheed Martin Red Team |
|||||
|
|
ZSB-21008 | 09/30/2021 | Lokale escalatie van bevoegdheden van Zoom voor Windows-installatieprogramma | Kritisch | CVE-2021-34412 |
|
Ernstniveau: Kritisch CVSS-score: 4.4 CVSS-vectorstring: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Beschrijving: Tijdens het installatieproces voor alle versies van de Zoom Client for Meetings voor Windows vóór 5.4.0 is het mogelijk om Internet Explorer te starten. Als het installatieprogramma werd gestart met verhoogde bevoegdheden, zoals door SCCM, kan dit leiden tot een lokale escalatie van bevoegdheden. Getroffen producten:
Bron: Gemeld door het Lockheed Martin Red Team |
|||||
|
|
ZSB-21007 | 09/30/2021 | Lokale escalatie bevoegdheden installatieprogramma Zoom Rooms | Kritisch | CVE-2021-34411 |
|
Ernstniveau: Kritisch CVSS-score: 4.4 CVSS-vectorstring: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Beschrijving: Tijdens het installatieproces voor Zoom Rooms for Conference Room voor Windows vóór versie 5.3.0 is het mogelijk om Internet Explorer met verhoogde bevoegdheden te starten. Als het installatieprogramma werd gestart met verhoogde bevoegdheden, zoals door SCCM, kan dit leiden tot een lokale escalatie van bevoegdheden. Getroffen producten:
Bron: Gemeld door het Lockheed Martin Red Team |
|||||
|
|
ZSB-21004 | 09/30/2021 | Zoom MSI-installatieprogramma verhoogd schrijven met behulp van een knooppunt | Kritisch | CVE-2021-34408 |
|
Ernstniveau: Kritisch CVSS-score: 7.0 CVSS-vectorstring: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Beschrijving: Een door de gebruiker beschrijfbaar gemaakte directory tijdens de installatie van de Zoom Client for Meetings voor Windows vóór versie 5.3.2, kan worden omgeleid naar een andere locatie met behulp van een knooppunt. Hierdoor kan een aanvaller bestanden overschrijven die een beperkte gebruiker anders niet zou kunnen wijzigen. Getroffen producten:
Bron: Gemeld door het Lockheed Martin Red Team |
|||||
|
|
ZSB-21003 | 09/30/2021 | Omzeiling digitale handtekening Windows Zoom-installatieprogramma | Kritisch | CVE-2021-33907 |
|
Ernstniveau: Kritisch CVSS-score: 7.0 CVSS-vectorstring: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H/MPR:N/MUI:R/MS:U/MC:H/MI:H/MA:H
Beschrijving: De Zoom-client voor vergaderingen voor Windows in alle versies vóór 5.3.0 kan de certificaatgegevens die worden gebruikt om .msi bestanden te ondertekenen bij het uitvoeren van een update van de client, niet correct valideren. Dit kan leiden tot uitvoering van externe code in een context met verhoogde bevoegdheden. Getroffen producten:
Bron: Gemeld door het Lockheed Martin Red Team |
|||||
|
|
ZSB-21002 | 08/13/2021 | Een heap-overschrijding van statische buffer ongecontroleerd schrijven vanuit XMPP-bericht | Kritisch | CVE-2021-30480 |
|
Ernstniveau: Kritisch CVSS-score: 8.1 CVSS-vectorstring: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H
Beschrijving: Er bestaat een overschrijding van de bufferlimiet op basis van heap in alle desktopversies van de Zoom Client for Meetings vóór versie 5.6.3. Deze bevinding werd gemeld aan Zoom als onderdeel van 2021 Pwn20wn Vancouver. De aanvalsketen die tijdens Pwn20wn werd aangetoond, werd in een verandering aan serverzijde gemitigeerd in de infrastructuur van Zoom op 2021-04-09. Getroffen producten:
Bron: Gemeld door Daan Keuper en Thijs Alkemade van Computest via het Zero Day Initiative |
|||||
|
|
ZSB-21001 | 03/26/2021 | Functionaliteit voor scherm delen van toepassingsvensters | Kritisch | CVE-2021-28133 |
|
Ernstniveau: Kritisch CVSS-score: 5.7 CVSS-vectorstring: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N
Beschrijving: Een kwetsbaarheid beïnvloedde de Zoom Windows- en Linux Clients voor het delen van schermen bij het delen van afzonderlijke toepassingsvensters, waarin scherminhoud van apps die niet expliciet worden gedeeld door de gebruikers van het delen van het scherm, gedurende een kort moment door andere deelnemers aan de vergadering kan worden gezien als de "deler" een ander venster minimaliseert, maximaliseert of sluit. Getroffen producten:
Bron: Ontdekt door Michael Stramez en Matthias Deeg. |
|||||
|
|
ZSB-20002 | 08/14/2020 | Windows DLL in de Zoom Sharing Service | Kritisch | CVE-2020-9767 |
|
Ernstniveau: Kritisch CVSS-score: 7.8 CVSS-vectorstring: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Beschrijving: Door een kwetsbaarheid met betrekking tot het laden van DLL's (Dynamic-Link Library) in de Zoom Sharing-dienst kan een lokale Windows-gebruiker bevoegdheden escaleren naar die van de NT AUTHORITY/SYSTEM-gebruiker. Getroffen producten:
Bron: Connor Scott van Context Information Security |
|||||
|
|
ZSB-20001 | 05/04/2020 | Zoom IT-installatieprogramma voor Windows | Kritisch | CVE-2020-11443 |
|
Ernstniveau: Kritisch CVSS-score: Basis: 8.4 CVSS-vectorstring: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H
Beschrijving: Een kwetsbaarheid in de manier waarop het Zoom Windows-installatieprogramma knooppunten verwerkt bij het verwijderen van bestanden. Dit kan een lokale Windows-gebruiker ertoe brengen bestanden te verwijderen die normaal niet door de gebruiker kunnen worden verwijderd. Getroffen producten:
Bron: Met dank aan het Lockheed Martin Red Team. |
|||||
|
|
ZSB-19003 | 07/12/2019 | ZoomOpener daemon | Kritisch | CVE-2019-13567 |
|
Ernstniveau: Kritisch CVSS-score: Basis: 7.5 CVSS-vectorstring: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Beschrijving: Door een kwetsbaarheid in de Zoom macOS-client kan een aanvaller schadelijke software downloaden naar het apparaat van een slachtoffer. Getroffen producten:
Bron: Onbekend. |
|||||
|
|
ZSB-19002 | 07/09/2019 | Standaard video-instelling | Kritisch | CVE-2019-13450 |
|
Ernstniveau: Kritisch CVSS-score: Basis: 3.1 CVSS-vectorstring: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
Beschrijving: Door een kwetsbaarheid in de macOS Zoom- en RingCentral-clients kan een externe, niet-geverifieerde aanvaller een gebruiker dwingen deel te nemen aan een videogesprek met ingeschakelde videocamera. Getroffen producten:
Bron: Ontdekt door Jonathan Leitschuh. |
|||||
|
|
ZSB-19001 | 07/09/2019 | Denial of service-aanval - macOS | Kritisch | CVE-2019-13449 |
|
Ernstniveau: Kritisch CVSS-score: Basis: 3.1 CVSS-vectorstring: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Beschrijving: Door een kwetsbaarheid in de macOS Zoom-client kan een externe, niet-geverifieerde aanvaller een denial-of-service-toestand activeren op het systeem van een slachtoffer. Getroffen producten:
Bron: Ontdekt door Jonathan Leitschuh. |
|||||
| No results found | |||||
Vul je individuele e-mailadres in om meldingen te ontvangen van toekomstige Zoom-veiligheidsbulletins. (Opmerking: e-mailaliassen ontvangen deze meldingen niet.)