Trust Center Security, Privacy, Blogs Additional Resources

Biuletyny zabezpieczeń

Poziom istotności Wszystkie
  • Poziom istotności Wszystkie
  • Krytyczny
  • Wysoki
  • Średni
  • Niski
CVE Wszystkie
  • CVE Wszystkie
  • CVE-2023-39209
  • CVE-2023-39214
  • CVE-2023-39213
  • CVE-2023-39212
  • CVE-2023-39211
  • CVE-2023-39210
  • CVE-2023-39218
  • CVE-2023-39217
  • CVE-2023-39216
  • CVE-2023-36535
  • CVE-2023-36534
  • CVE-2023-36533
  • CVE-2023-36532
  • CVE-2023-36541
  • CVE-2023-36540
  • CVE-2023-36538
  • CVE-2023-36537
  • CVE-2023-36536
  • CVE-2023-34119
  • CVE-2023-34118
  • CVE-2023-34117
  • CVE-2023-34116
  • CVE-2023-36539
  • CVE-2023-34115
  • CVE-2023-34114
  • CVE-2023-34113
  • CVE-2023-34122
  • CVE-2023-34121
  • CVE-2023-34120
  • CVE-2023-28603
  • CVE-2023-28602
  • CVE-2023-28601
  • CVE-2023-28600
  • CVE-2023-28599
  • CVE-2023-28598
  • CVE-2023-28597
  • CVE-2023-28596
  • CVE-2023-22883
  • CVE-2023-22881
    CVE-2023-22882
  • CVE-2023-22880
  • CVE-2022-36930
  • CVE-2022-36929
  • CVE-2022-36928
  • CVE-2022-36926
    CVE-2022-36927
  • CVE-2022-36925
  • CVE-2022-36924
  • CVE-2022-28768
  • CVE-2022-28766
  • CVE-2022-28764
  • CVE-2022-28763
  • CVE-2022-28762
  • CVE-2022-28761
  • CVE-2022-28760
  • CVE-2022-28758
    CVE-2022-28759
  • CVE-2022-28757
  • CVE-2022-28756
  • CVE-2022-28751
  • CVE-2022-28753
    CVE-2022-28754
  • CVE-2022-28755
  • CVE-2022-28750
  • CVE-2022-28749
  • CVE-2022-22788
  • CVE-2022-22787
  • CVE-2022-22786
  • CVE-2022-22785
  • CVE-2022-22784
  • CVE-2022-22783
  • CVE-2022-22782
  • CVE-2022-22781
  • CVE-2022-22780
  • CVE-2022-22779
  • CVE-2021-34426
  • CVE-2021-34425
  • CVE-2021-34424
  • CVE-2021-34423
  • CVE-2021-34422
  • CVE-2021-34421
  • CVE-2021-34420
  • CVE-2021-34419
  • CVE-2021-34418
  • CVE-2021-34417
  • CVE-2021-34416
  • CVE-2021-34415
  • CVE-2021-34414
  • CVE-2021-34413
  • CVE-2021-34412
  • CVE-2021-34411
  • CVE-2021-34408
  • CVE-2021-33907
  • CVE-2021-30480
  • CVE-2021-28133
  • CVE-2020-9767
  • CVE-2020-11443
  • CVE-2019-13567
  • CVE-2019-13450
  • CVE-2019-13449
Szukaj

Biuletyny zabezpieczeń

Zoom nie zapewnia wskazówek dotyczących wpływu luki w zabezpieczeniach dla poszczególnych klientów, ponieważ w tym celu wydaje biuletyn zabezpieczeń, ani nie podaje dodatkowych szczegółów na temat luki w zabezpieczeniach. Zalecamy użytkownikom aktualizację do najnowszej wersji oprogramowania Zoom w celu uzyskania najnowszych poprawek i ulepszeń bezpieczeństwa.

ZSB Data Tytuł Poziom istotności CVE (jeśli dotyczy)
ZSB-23041 08/08/2023 Klient stacjonarny Zoom dla systemu Windows – niewłaściwa walidacja danych wejściowych Średni CVE-2023-39209

Poziom istotności: Średni

Wynik CVSS: 5.9

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Opis: Niewłaściwa walidacja danych wejściowych w kliencie stacjonarnym Zoom dla systemu Windows przed wersją 5.15.5 może pozwolić uwierzytelnionemu użytkownikowi ujawnić informacje poprzez dostęp sieciowy.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Klient stacjonarny Zoom dla systemu Windows w wersji 5.15.5

Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń

ZSB-23039 08/08/2023 Zestaw narzędzi SDK klienta Zoom – narażenie na ujawnienie poufnych informacji Wysoki CVE-2023-39214

Poziom istotności: Wysoki

Wynik CVSS: 7.6

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H

Opis: Ujawnienie poufnych informacji w SDK klienta Zoom przed wersją 5.15.5 może umożliwić uwierzytelnionemu użytkownikowi odmowę usługi poprzez dostęp sieciowy.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zestaw narzędzi SDK klienta Zoom dla systemu Windows przed wersją 5.15.5
  • Zestaw narzędzi SDK klienta Zoom dla systemu iOS przed wersją 5.15.5
  • Zestaw narzędzi SDK klienta Zoom dla systemu Android przed wersją 5.15.5
  • Zestaw narzędzi SDK klienta Zoom dla systemu macOS przed wersją 5.15.5
  • Zestaw narzędzi SDK klienta Zoom dla systemu Linux przed wersją 5.15.5

Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń

ZSB-23038 08/08/2023 Klient stacjonarny Zoom dla systemu Windows i klient VDI Zoom – niewłaściwa neutralizacja elementów specjalnych Krytyczny CVE-2023-39213

Poziom istotności: Krytyczny

Wynik CVSS: 9.6

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Opis: Niewłaściwa neutralizacja elementów specjalnych w kliencie stacjonarnym Zoom dla systemu Windows i kliencie VDI Zoom przed wersją 5.15.2 może umożliwić nieuwierzytelnionemu użytkownikowi eskalację uprawnień poprzez dostęp sieciowy.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Klient stacjonarny Zoom dla systemu Windows w wersji 5.15.2
  • Klient VDI Zoom przed wersją 5.15.2

Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń

ZSB-23037 08/08/2023 Zoom Rooms dla systemu Windows – niezaufana ścieżka wyszukiwania Wysoki CVE-2023-39212

Poziom istotności: Wysoki

Wynik CVSS: 7.9

Ciąg wektora CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

Opis: Niezaufana ścieżka wyszukiwania w Zoom Rooms dla systemu Windows przed wersją 5.15.5 może pozwolić uwierzytelnionemu użytkownikowi na włączenie odmowy usługi poprzez dostęp lokalny.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zoom Rooms dla systemu Windows przed wersją 5.15.5

Źródło: Zgłoszono przez: sim0nsecurity.

ZSB-23036 08/08/2023 Klient stacjonarny Zoom dla Windows i Zoom Rooms dla systemu Windows – niewłaściwe zarządzanie uprawnieniami Wysoki CVE-2023-39211

Poziom istotności: Wysoki

Wynik CVSS: 8.8

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Opis: Niewłaściwe zarządzanie uprawnieniami w kliencie stacjonarnym Zoom dla systemu Windows i Zoom Rooms dla Windows przed wersją 5.15.5 może umożliwić uwierzytelnionemu użytkownikowi ujawnienie informacji poprzez dostęp lokalny.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Klient stacjonarny Zoom dla systemu Windows przed wersją 5.15.5
  • Zoom Rooms dla systemu Windows przed wersją 5.15.5

Źródło: Zgłoszono przez: sim0nsecurity.

ZSB-23035 08/08/2023 Zestaw narzędzi SDK klienta Zoom dla systemu Windows – przechowywanie poufnych informacji w postaci czystego tekstu Średni CVE-2023-39210

Poziom istotności: Średni

Wynik CVSS: 5.5

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Opis: Przechowywanie poufnych informacji w postaci czystego tekstu w zestawie narzędzi SDK klienta Zoom dla systemu Windows przed wersją 5.15.0 może pozwolić uwierzytelnionemu użytkownikowi na ujawnienie informacji poprzez dostęp lokalny.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zestaw narzędzi SDK klienta Zoom dla systemu Windows przed wersją 5.15.0

Źródło: Zgłoszono przez: sim0nsecurity.

ZSB-23034 08/08/2023 Klienci Zoom – egzekwowanie po stronie klienta zabezpieczeń po stronie serwera Średni CVE-2023-39218

Poziom istotności: Średni

Wynik CVSS: 6.5

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

Opis: Egzekwowanie po stronie klienta zabezpieczeń po stronie serwera w klientach Zoom przed wersją 5.14.10 może pozwolić uprzywilejowanemu użytkownikowi na ujawnienie informacji poprzez dostęp sieciowy.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Klient stacjonarny Zoom dla systemu Windows w wersji 5.14.10
  • Klient stacjonarny Zoom dla systemu macOS w wersji 5.14.10
  • Klient stacjonarny Zoom dla systemu Linux w wersji 5.14.10
  • Host i wtyczka VDI Zoom przed wersją 5.14.10
  • Aplikacja mobilna Zoom dla systemu Android przed wersją 5.14.10
  • Aplikacja mobilna Zoom dla systemu iOS przed wersją 5.14.10
  • Zoom Rooms dla systemu iPad przed wersją 5.14.10
  • Zoom Rooms dla systemu Android przed wersją 5.14.10
  • Zoom Rooms dla systemu Windows przed wersją 5.14.10
  • Zoom Rooms dla systemu macOS przed wersją 5.14.10

Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń

ZSB-23033 08/08/2023 Zestaw narzędzi SDK – niewłaściwa walidacja danych wejściowych Średni CVE-2023-39217

Poziom istotności: Średni

Wynik CVSS: 5.3

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Opis: Niewłaściwa walidacja danych wejściowych w zestawie narzędzi SDK Zoom przed wersją 5.14.10 może pozwolić nieuwierzytelnionemu użytkownikowi na włączenie odmowy usługi poprzez dostęp sieciowy.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zestaw narzędzi SDK klienta Zoom dla systemu Windows przed wersją 5.14.10
  • Zestaw narzędzi SDK klienta Zoom dla systemu iOS przed wersją 5.14.10
  • Zestaw narzędzi SDK klienta Zoom dla systemu Android przed wersją 5.14.10
  • Zestaw narzędzi SDK klienta Zoom dla systemu macOS przed wersją 5.14.10
  • Zestaw narzędzi SDK klienta Zoom dla systemu Linux przed wersją 5.14.10

Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń

ZSB-23032 08/08/2023 Klient stacjonarny Zoom dla systemu Windows – niewłaściwa walidacja danych wejściowych Krytyczny CVE-2023-39216

Poziom istotności: Krytyczny

Wynik CVSS: 9.6

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Opis: Niewłaściwa walidacja danych wejściowych w kliencie stacjonarnym Zoom dla systemu Windows przed wersją 5.14.7 może umożliwić nieuwierzytelnionemu użytkownikowi eskalację uprawnień poprzez dostęp sieciowy.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Klient stacjonarny Zoom dla systemu Windows w wersji 5.14.7

Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń

ZSB-23031 08/08/2023 Klienci Zoom – egzekwowanie po stronie klienta zabezpieczeń po stronie serwera Wysoki CVE-2023-36535

Poziom istotności: Wysoki

Wynik CVSS: 7.1

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L

Opis: Egzekwowanie po stronie klienta zabezpieczeń po stronie serwera w klientach Zoom przed wersją 5.14.10 może pozwolić uwierzytelnionemu użytkownikowi na ujawnienie informacji poprzez dostęp sieciowy.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Klienty Zoom dla systemu Windows przed wersją 5.14.10
  • Klient stacjonarny Zoom dla systemu macOS w wersji 5.14.10
  • Klient stacjonarny Zoom dla systemu Linux w wersji 5.14.10
  • Host i wtyczka VDI Zoom przed wersją 5.14.10
  • Aplikacja mobilna Zoom dla systemu Android przed wersją 5.14.10
  • Aplikacja mobilna Zoom dla systemu iOS przed wersją 5.14.10
  • Zoom Rooms dla systemu iPad przed wersją 5.14.10
  • Zoom Rooms dla systemu Android przed wersją 5.14.10
  • Zoom Rooms dla systemu Windows przed wersją 5.14.10
  • Zoom Rooms dla systemu macOS przed wersją 5.14.10

Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń

ZSB-23030 08/08/2023 Klient stacjonarny Zoom dla systemu Windows – przeszukiwanie ścieżek Krytyczny CVE-2023-36534

Poziom istotności: Krytyczny

Wynik CVSS: 9.3

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H

Opis: Przeszukiwanie ścieżek w kliencie stacjonarnym Zoom dla systemu Windows przed wersją 5.14.7 może umożliwić nieuwierzytelnionemu użytkownikowi eskalację uprawnień poprzez dostęp sieciowy.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Klient stacjonarny Zoom dla systemu Windows w wersji 5.14.7

Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń

ZSB-23029 08/08/2023 Zestaw narzędzi SDK Zoom – niekontrolowane zużycie zasobów Wysoki CVE-2023-36533

Poziom istotności: Wysoki

Wynik CVSS: 7.1

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H

Opis: Niekontrolowane zużycie zasobów w zestawie narzędzi SDK Zoom przed wersją 5.14.7 może pozwolić nieuwierzytelnionemu użytkownikowi na włączenie odmowy usługi poprzez dostęp sieciowy.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zestaw narzędzi SDK klienta Zoom dla systemu Windows przed wersją 5.14.7
  • Zestaw narzędzi SDK klienta Zoom dla systemu iOS przed wersją 5.14.7
  • Zestaw narzędzi SDK klienta Zoom dla systemu Android przed wersją 5.14.7
  • Zestaw narzędzi SDK klienta Zoom dla systemu macOS przed wersją 5.14.7
  • Zestaw narzędzi SDK klienta Zoom dla systemu Linux przed wersją 5.14.7

Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń

ZSB-23028 08/08/2023 Klienty Zoom – przepełnienie bufora Średni CVE-2023-36532

Poziom istotności: Średni

Wynik CVSS: 5.9

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Opis: Przepełnienie bufora w klientach Zoom przed wersją 5.14.5 może pozwolić nieuwierzytelnionemu użytkownikowi na włączenie odmowy usługi poprzez dostęp sieciowy.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Klient stacjonarny Zoom dla systemu Windows w wersji 5.14.5
  • Klient stacjonarny Zoom dla systemu macOS w wersji 5.14.5
  • Klient stacjonarny Zoom dla systemu Linux w wersji 5.14.5
  • Host i wtyczka VDI Zoom przed wersją 5.14.5
  • Aplikacja mobilna Zoom dla systemu Android przed wersją 5.14.5
  • Aplikacja mobilna Zoom dla systemu iOS przed wersją 5.14.5
  • Zoom Rooms dla systemu iPad przed wersją 5.14.5
  • Zoom Rooms dla systemu Android przed wersją 5.14.5
  • Zoom Rooms dla systemu Windows przed wersją 5.14.5
  • Zoom Rooms for macOS przed wersją 5.14.5

Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń

ZSB-23027 08/08/2023 Klient stacjonarny Zoom dla systemu Windows – niewystarczająca weryfikacja autentyczności danych Wysoki CVE-2023-36541

Poziom istotności: Wysoki

Wynik CVSS: 8

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Opis: Niewystarczająca weryfikacja autentyczności danych w kliencie stacjonarnym Zoom dla systemu Windows przed wersją 5.14.5 może pozwolić uwierzytelnionemu użytkownikowi na umożliwienie eskalacji uprawnień poprzez dostęp sieciowy.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Klient stacjonarny Zoom dla systemu Windows w wersji 5.14.5

Źródło: Zgłoszono przez: sim0nsecurity.

ZSB-23026 08/08/2023 Klient stacjonarny Zoom dla systemu Windows – niezaufana ścieżka wyszukiwania Wysoki CVE-2023-36540

Poziom istotności: Wysoki

Wynik CVSS: 7.3

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Opis: Niezaufana ścieżka wyszukiwania w kliencie stacjonarnym Zoom dla systemu Windows przed wersją 5.14.5 może umożliwić uwierzytelnionemu użytkownikowi eskalację uprawnień poprzez dostęp lokalny.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Klient stacjonarny Zoom dla systemu Windows w wersji 5.14.5

Źródło: Zgłoszono przez: sim0nsecurity.

ZSB-23024 07/11/2023 Niewłaściwa kontrola dostępu Wysoki CVE-2023-36538

Poziom istotności: Wysoki

Wynik CVSS: 8.4

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Opis: Niewłaściwa kontrola dostępu w Zoom Rooms dla systemu Windows przed wersją 5.15.0 może umożliwić uwierzytelnionemu użytkownikowi eskalację uprawnień poprzez dostęp lokalny.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zoom Rooms dla systemu Windows przed wersją 5.15.0

Źródło: Zgłoszono przez: sim0nsecurity.

ZSB-23023 07/11/2023 Niewłaściwe zarządzanie uprawnieniami Wysoki CVE-2023-36537

Poziom istotności: Wysoki

Wynik CVSS: 7.3

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Opis: Niewłaściwe zarządzanie uprawnieniami w Zoom Rooms dla systemu Windows przed wersją 5.14.5 może umożliwić uwierzytelnionemu użytkownikowi eskalację uprawnień poprzez dostęp lokalny.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zoom Rooms dla systemu Windows przed wersją 5.14.5

Źródło: Zgłoszono przez: sim0nsecurity.

ZSB-23022 07/11/2023 Niezaufana ścieżka wyszukiwania Wysoki CVE-2023-36536

Poziom istotności: Wysoki

Wynik CVSS: 8.2

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Opis: Niezaufana ścieżka wyszukiwania w instalatorze Zoom Rooms dla systemu Windows przed wersją 5.15.0 może umożliwić uwierzytelnionemu użytkownikowi eskalację uprawnień poprzez dostęp lokalny.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zoom Rooms dla systemu Windows przed wersją 5.15.0

Źródło: Zgłoszono przez: sim0nsecurity.

ZSB-23021 07/11/2023 Niebezpieczny plik tymczasowy Wysoki CVE-2023-34119

Poziom istotności: Wysoki

Wynik CVSS: 8.2

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Opis: Niebezpieczny plik tymczasowy w instalatorze Zoom Rooms dla systemu Windows przed wersją 5.15.0 może umożliwić uwierzytelnionemu użytkownikowi eskalację uprawnień poprzez dostęp lokalny.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zoom Rooms dla systemu Windows przed wersją 5.15.0

Źródło: Zgłoszono przez: sim0nsecurity.

ZSB-23020 07/11/2023 Niewłaściwe zarządzanie uprawnieniami Wysoki CVE-2023-34118

Poziom istotności: Wysoki

Wynik CVSS: 7.3

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Opis: Niewłaściwe zarządzanie uprawnieniami w Zoom Rooms dla systemu Windows przed wersją 5.14.5 może umożliwić uwierzytelnionemu użytkownikowi eskalację uprawnień poprzez dostęp lokalny.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zoom Rooms dla systemu Windows przed wersją 5.14.5

Źródło: Zgłoszono przez: sim0nsecurity.

ZSB-23019 07/11/2023 Względne przeszukiwanie ścieżek Niska CVE-2023-34117

Poziom istotności: Niska

Wynik CVSS: 3.3

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

Opis: Względne przeszukiwanie ścieżek w kliencie Zoom SDK przed wersją 5.15.0 może umożliwić nieuwierzytelnionemu użytkownikowi ujawnienie informacji poprzez dostęp lokalny.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Klient Zoom SDK przed wersją 5.15.0

Źródło: Zgłoszenie: Dimitrios Valsamaras z Microsoft.

ZSB-23018 07/11/2023 Niewłaściwa walidacja danych wejściowych Wysoki CVE-2023-34116

Poziom istotności: Wysoki

Wynik CVSS: 8.2

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:H

Opis: Niewłaściwa walidacja danych wejściowych w Zoom Rooms for Windows przed wersją 5.15.0 może umożliwić nieuwierzytelnionemu użytkownikowi eskalację uprawnień poprzez dostęp sieciowy.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Klient stacjonarny Zoom dla systemu Windows w wersji 5.15.0.

Źródło: Zgłoszono przez: sim0nsecurity.

ZSB-23025 06/29/2023 Ujawnienie informacji poufnych Średni CVE-2023-36539

Poziom istotności: Średni

Wynik CVSS: 5.3

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

Opis: Ujawnienie informacji, które miały być zaszyfrowane przez niektórych klientów Zoom, może prowadzić do ujawnienia poufnych informacji.

Zoom szyfruje wiadomości na czacie podczas spotkania za pomocą klucza na dane spotkanie, a następnie przesyła te zaszyfrowane wiadomości między urządzeniami użytkowników a Zoom przy użyciu szyfrowania TLS. W produktach, których dotyczy problem, kopia każdej wiadomości na czacie podczas spotkania była również wysyłana w postaci zaszyfrowanej tylko przy użyciu protokołu TLS, a nie klucza na dane spotkanie, w tym w przypadku wiadomości wysyłanych podczas spotkań z szyfrowaniem end-to-end (E2EE).

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download oraz unikając korzystania z czatu podczas spotkania w wersjach, których dotyczy problem.

Produkty, których dotyczy problem:

  • Klient stacjonarny Zoom dla systemu Windows w wersjach 5.15.0 i 5.15.1
  • Klient stacjonarny Zoom dla systemu macOS tylko w wersji 5.15.0
  • Klient stacjonarny Zoom dla systemu Linux tylko w wersji 5.15.0
  • Aplikacja mobilna Zoom dla systemu iOS tylko w wersji 5.15.0
  • Aplikacja mobilna Zoom dla systemu Android tylko w wersji 5.15.0
  • Aplikacja mobilna Zoom dla systemu Windows tylko w wersji 5.15.0
  • Zoom Rooms dla systemu macOS tylko w wersji 5.15.0
  • Zoom Rooms na urządzenia iPad tylko w wersji 5.15.0
  • Zoom Phone tylko w wersji 5.15.0
  • Zoom Meeting SDK dla systemu Android tylko w wersji 5.15.0
  • Zoom Meeting SDK dla systemu iOS tylko w wersji 5.15.0
  • Zoom Meeting SDK dla systemu macOS tylko w wersji 5.15.0
  • Zoom Meeting SDK dla systemu Windows tylko w wersji 5.15.1
  • Zoom Video SDK dla systemu Windows tylko w wersji 1.8.0
  • Zoom Video SDK dla systemu macOS tylko w wersji 1.8.0
  • Zoom Video SDK dla systemu Android tylko w wersji 1.8.0
  • Zoom Video SDK dla systemu iOS tylko w wersji 1.8.0
  • Zoom Video SDK dla systemu Linux tylko w wersji 1.8.0

Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń

ZSB-23017 06/13/2023 Kopia buforowa bez sprawdzania rozmiaru danych wejściowych Średni CVE-2023-34115

Poziom istotności: Średni

Wynik CVSS: 4.0

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Opis: Kopia buforowa bez sprawdzania rozmiaru danych wejściowych w Zoom Meetings SDK przed wersją 5.13.0 może umożliwić uwierzytelnionemu użytkownikowi potencjalne włączenie odmowy usługi poprzez dostęp lokalny. Ten problem może spowodować awarię Zoom Meeting SDK i konieczność ponownego uruchomienia.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zoom Meeting SDK przed wersją 5.13.0.

Źródło: Zgłoszenie: Eugene Lim

ZSB-23016 06/13/2023 Ekspozycja zasobów na niewłaściwą sferę Średni CVE-2023-34114

Poziom istotności: Średni

Wynik CVSS: 4.3

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N

Opis: Ekspozycja zasobów na niewłaściwą sferę w klientach Zoom for Windows i Zoom for macOS przed wersją 5.14.10 może umożliwić uwierzytelnionemu użytkownikowi potencjalne ujawnienie informacji poprzez dostęp do sieci.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zoom for Windows przed wersją 5.14.10
  • Zoom for macOS przed wersją 5.14.10

Źródło: Zgłoszenie: Siddhi Katariya (chikorita)

ZSB-23015 06/13/2023 Niewystarczająca weryfikacja autentyczności danych Wysoki CVE-2023-34113

Poziom istotności: Wysoki

Wynik CVSS: 8

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Opis: Niewystarczająca weryfikacja autentyczności danych w klientach Zoom for Windows przed wersją 5.14.0 może umożliwić uwierzytelnionemu użytkownikowi potencjalną eskalację uprawnień poprzez dostęp do sieci.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Klienty Zoom for Windows przed wersją 5.14.0

Źródło: Zgłoszono przez: sim0nsecurity

ZSB-23014 06/13/2023 Niewłaściwa walidacja danych wejściowych Wysoki CVE-2023-34122

Poziom istotności: Wysoki

Wynik CVSS: 7.3

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Opis: Niewłaściwa walidacja danych wejściowych w instalatorze klientów Zoom for Windows przed wersją 5.14.0 może umożliwić uwierzytelnionemu użytkownikowi potencjalną eskalację uprawnień poprzez dostęp lokalny.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Klienty Zoom for Windows przed wersją 5.14.0

Źródło: Zgłoszono przez: sim0nsecurity

ZSB-23013 06/13/2023 Niewłaściwa walidacja danych wejściowych Średni CVE-2023-34121

Poziom istotności: Średni

Wynik CVSS: 4.9

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N

Opis: Niewłaściwa walidacja danych wejściowych w klientach Zoom for Windows, Zoom Rooms, Zoom VDI Windows Meeting przed wersją 5.14.0 może umożliwić uwierzytelnionemu użytkownikowi potencjalną eskalację uprawnień poprzez dostęp do sieci.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Klienty Zoom for Windows przed wersją 5.14.0
  • Klient Zoom Rooms do systemu Windows przed wersją 5.14.0
  • Klienty Zoom VDI Windows Meeting przed wersją 5.14.0

Źródło: Zgłoszenie: Mohit Rawat – ASPIA InfoTech

ZSB-23012 06/13/2023 Niewłaściwe zarządzanie uprawnieniami Wysoki CVE-2023-34120

Poziom istotności: Wysoki

Wynik CVSS: 8.7

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L

Opis: Niewłaściwe zarządzanie uprawnieniami w klientach Zoom for Windows, Zoom Rooms for Windows, and Zoom VDI for Windows przed wersją 5.14.0 może umożliwić uwierzytelnionemu użytkownikowi potencjalną eskalację uprawnień poprzez dostęp lokalny. Użytkownicy mogą potencjalnie wykorzystywać uprawnienia systemowe wyższego poziomu utrzymywane przez klienta Zoom do tworzenia procesów z eskalowanymi uprawnieniami.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Klienty Zoom for Windows przed wersją 5.14.0
  • Klient Zoom Rooms do systemu Windows przed wersją 5.14.0
  • Klienty Zoom VDI Windows Meeting przed wersją 5.14.0

Źródło: Zgłoszono przez: sim0nsecurity

ZSB-23011 06/13/2023 Niewłaściwa kontrola dostępu w instalatorze klienta Zoom VDI Wysoki CVE-2023-28603

Poziom istotności: Wysoki

Wynik CVSS: 7.7

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:L

Opis: Instalator klienta Zoom VDI przed wersją 5.14.0 zawiera lukę związaną z niewłaściwą kontrolą dostępu. Złośliwy użytkownik może potencjalnie usunąć pliki lokalne bez odpowiednich uprawnień.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Instalator Zoom VDI Windows Meeting przed wersją 5.14.0

Źródło: Zgłoszono przez: sim0nsecurity

ZSB-23010 06/13/2023 Niewłaściwa weryfikacja podpisu kryptograficznego w klientach Zoom Niska CVE-2023-28602

Poziom istotności: Niska

Wynik CVSS: 2.8

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N

Opis: Klienty Zoom for Windows przed wersją 5.13.5 zawierają lukę związaną z niewłaściwą weryfikacją podpisu kryptograficznego. Złośliwy użytkownik może potencjalnie obniżyć poziom komponentów klienta Zoom do poprzednich wersji.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Klienty Zoom for Windows przed wersją 5.13.5

Źródło: Zgłoszenie: Kirin (Pwnrin)

ZSB-23009 06/13/2023 Niewłaściwe ograniczenie operacji w granicach bufora pamięci w klientach Zoom Niska CVE-2023-28601

Poziom istotności: Niska

Wynik CVSS: 2

Ciąg wektora CVSS: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

Opis: Klienty Zoom for Windows przed wersją 5.14.0 zawierają lukę związaną z niewłaściwym ograniczeniem operacji w granicach bufora pamięci. Złośliwy użytkownik może zmienić chroniony bufor pamięci klienta Zoom, potencjalnie powodując problemy z integralnością w klienta Zoom.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Klienty Zoom for Windows przed wersją 5.14.0

Źródło: Zgłoszono przez: sim0nsecurity

ZSB-23008 06/13/2023 Niewłaściwa kontrola dostępu w klientach Zoom Średni CVE-2023-28600

Poziom istotności: Średni

Wynik CVSS: 6.6

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:L

Opis: Klienty Zoom for macOS przed wersją 5.14.0 zawierają lukę związaną z niewłaściwą kontrolą dostępu. Złośliwy użytkownik może usunąć/zastąpić pliki klienta Zoom, potencjalnie powodując utratę integralności i dostępności klienta Zoom.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Klienty Zoom for macOS przed wersją 5.14.0

Źródło: Zgłoszenie: Koh M. Nakagawa (@tsunek0h)

ZSB-23007 06/13/2023 Luka w zabezpieczeniach związana z wprowadzeniem/wstrzyknięciem HTML do klientów Zoom Średni CVE-2023-28599

Poziom istotności: Średni

Wynik CVSS: 4.2

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

Opis: Klienty Zoom przed wersją 5.13.10 zawierają lukę związaną z wprowadzeniem/wstrzyknięciem HTML. Złośliwy użytkownik może wprowadzić HTML do swojej wyświetlanej nazwy, potencjalnie kierując ofiarę do złośliwej witryny podczas tworzenia spotkania.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Klienty Zoom (do systemów Android, iOS, Linux, macOS i Windows) przed wersją 5.13.10

Źródło: Zgłoszenie: Mohit Rawat – ASPIA InfoTech

ZSB-23006 06/13/2023 Wprowadzenie/wstrzyknięcie HTML do klienta Linux Zoom Wysoki CVE-2023-28598

Poziom istotności: Wysoki

Wynik CVSS: 7.5

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Opis: Klienty Linux Zoom przed wersją 5.13.10 zawierają lukę związaną z wprowadzeniem/wstrzyknięciem HTML. Jeśli ofiara rozpocznie czat ze złośliwym użytkownikiem, może to spowodować awarię aplikacji Zoom.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Klienty Linux Zoom przed wersją 5.13.10

Źródło: Zgłoszenie: Antoine Roly (aroly)

ZSB-23005 03/14/2023 Nieprawidłowe wdrożenie granic zaufania w SMB w klientach Zoom [Updated 2023-04-07] Wysoki CVE-2023-28597

Poziom istotności: Wysoki

Wynik CVSS: 8.3

Ciąg wektora CVSS: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

Opis: Klienci Zoom w wersji wcześniejszej niż 5.13.5 zawierają lukę związaną z nieprawidłowym wdrożeniem granicy zaufania. Jeśli ofiara zapisze lokalne nagranie w lokalizacji SMB, a później otworzy je za pomocą linku z portalu internetowego Zoom, włamywacz znajdujący się w równoległej do klienta ofiary sieci może skonfigurować złośliwy serwer SMB, aby reagować na żądania klienta, co sprawi, że klient będzie wykonywał polecenia wydawane przez włamywacza. W wyniku tego włamywacz może uzyskać dostęp do urządzenia i danych użytkownika i zdalnie wywoływać uruchomienie kodu.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

* Zmiany – 07.04.2023 – usunięto system Android i iOS z sekcji „Produkty, których to dotyczy”

Produkty, których dotyczy problem:

  • Klienty Zoom (do systemów Linux, macOS i Windows) przed wersją 5.13.5
  • Klienty Zoom Rooms (do systemów Linux, macOS i Windows) przed wersją 5.13.5
  • Klienci Zoom VDI Windows Meeting przed wersją 5.13.10

Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń

ZSB-23004 03/14/2023 Lokalna eskalacja uprawnień w instalatorze Zoom dla systemu macOS Średni CVE-2023-28596

Poziom istotności: Średni

Wynik CVSS: 5.2

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L

Opis: Instalator Zoom Client w wersji dla administratora IT dla systemu macOS przed wersją 5.13.5 zawiera lukę w zabezpieczeniach w postaci lokalnej eskalacji uprawnień. Lokalny, nisko uprzywilejowany użytkownik może wykorzystać tę lukę, dokonując ataku podczas procesu instalacji do podniesienia swoich uprawnień do rangi roota.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Instalator Zoom Client for Meetings w wersji dla administratora IT dla systemu macOS przed wersją 5.13.5

Źródło: Zgłoszenie: Koh M. Nakagawa (tsunekoh)

ZSB-23003 03/14/2023 Lokalna eskalacja uprawnień w instalatorze Zoom dla systemu Windows Wysoki CVE-2023-22883

Poziom istotności: Wysoki

Wynik CVSS: 7.2

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:N/I:H/A:H

Opis: Instalator Zoom Client w wersji dla administratora IT dla systemu Windows przed wersją 5.13.5 zawiera lukę w zabezpieczeniach w postaci lokalnej eskalacji uprawnień. Lokalny, nisko uprzywilejowany użytkownik może wykorzystać tę lukę, dokonując ataku podczas procesu instalacji do podniesienia swoich uprawnień do poziomu użytkownika SYSTEM.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Instalator Zoom Client for Meetings w wersji dla administratora IT dla systemu Windows przed wersją 5.13.5

Źródło: Zgłoszono przez: sim0nsecurity

ZSB-23002 03/14/2023 Odmowa usługi w klientach Zoom Średni CVE-2023-22881
CVE-2023-22882

Poziom istotności: Średni

Wynik CVSS: 6.5

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Opis: Klienci Zoom w wersji niższej niż 5.13.5 zawierają lukę w zabezpieczeniach w postaci parsowania STUN. Osoba podejmująca złośliwe działania może przesłać specjalnie zaprojektowany ruch UDP do klienta Zoom-ofiary, aby zdalnie wywołać zawieszenie klienta i odmowę wykonania usługi.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Klienci Zoom (do systemów Android, iOS, Linux, macOS i Windows) przed wersją 5.13.5

Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń

ZSB-23001 03/14/2023 Wyjawienie informacji w klientach Zoom for Windows Średni CVE-2023-22880

Poziom istotności: Średni

Wynik CVSS: 6.8

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N

Opis: Klienci Zoom for Windows w wersji niższej niż 5.13.3, klienci Zoom Rooms for Windows w wersji niższej niż 5.13.5 oraz klienci Zoom VDI for Windows w wersji niższej niż 5.13.1 zawierają lukę w zabezpieczeniach w postaci możliwego wyjawienia informacji. Niedawna aktualizacja Microsoft Edge WebView2 Runtime wykorzystywana przez klientów Zoom ze wspomnianą luką przekazała tekst do usługi Sprawdzania pisowni online firmy Microsoft zamiast do lokalnej usługi Sprawdzania pisowni Windows. Aktualizacja Zoom naprawi wspomnianą lukę, wyłączając tę funkcję. Aktualizacja Microsoft Edge WebView2 Runtime do wersji co najmniej 109.0.1481.0 oraz ponowne uruchomienie Zoom naprawi wspomnianą lukę poprzez aktualizację zachowania telemetrii Microsoftu.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Klienci Zoom for Windows przed wersją 5.13.3
  • Klienci Zoom Rooms for Windows przed wersją 5.13.3
  • Klienci Zoom VDI for Windows przed wersją 5.13.1

Źródło: Zgłoszono przez: zespół bezpieczeństwa Zoom

ZSB-22035 01/06/2023 Lokalna eskalacja uprawnień w kliencie Zoom Rooms dla instalatorów Windows Wysoki CVE-2022-36930

Poziom istotności: Wysoki

Wynik CVSS: 8.2

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Opis: Instalator Zoom Rooms for Windows przed wersją 5.13.0 zawiera lukę w zabezpieczeniach w postaci lokalnej eskalacji uprawnień. Lokalny, nisko uprzywilejowany użytkownik może wykorzystać tę lukę podczas ataku do podniesienia swoich uprawnień do poziomu użytkownika SYSTEM.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Instalatory Zoom Rooms for Windows przed wersją 5.13.0

Źródło: Zgłoszono przez: sim0nsecurity

ZSB-22034 01/06/2023 Lokalna eskalacja uprawnień w kliencie Zoom Rooms for Windows Wysoki CVE-2022-36929

Poziom istotności: Wysoki

Wynik CVSS: 7.8

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

Opis: Klienci Zoom Rooms for Windows przed wersją 5.12.7 zawiera lukę w zabezpieczeniach w postaci lokalnej eskalacji uprawnień. Lokalny, nisko uprzywilejowany użytkownik może wykorzystać tę lukę podczas ataku do podniesienia swoich uprawnień do poziomu użytkownika SYSTEM.
Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Klienci Zoom Rooms for Windows przed wersją 5.12.7

Źródło: Zgłoszono przez: sim0nsecurity

ZSB-22033 01/06/2023 Przeszukiwanie ścieżek w klientach Zoom for Android Średni CVE-2022-36928

Poziom istotności: Średni

Wynik CVSS: 6.1

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N

Opis: Klienci Zoom for Android w wersji niższej niż 5.13.0 zawierają lukę w zabezpieczeniach w postaci przeszukiwania ścieżek. Aplikacja firmy zewnętrznej może wykorzystać tę lukę w zabezpieczeniach, aby odczytać folder z danymi aplikacyjnymi Zoom oraz dokonywać w nim zmian.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Klienci Zoom for Android przed wersją 5.13.0

Źródło: Zgłoszenie: Dimitrios Valsamaras z Microsoft

ZSB-22032 01/06/2023 Lokalna eskalacja uprawnień w kliencie Zoom Rooms for macOS Wysoki CVE-2022-36926
CVE-2022-36927

Poziom istotności: Wysoki

Wynik CVSS: 8.8

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Opis: Klienci Zoom Rooms for macOS przed wersją 5.11.3 zawierają lukę w zabezpieczeniach w postaci lokalnej eskalacji uprawnień. Lokalny, nisko uprzywilejowany użytkownik może wykorzystać tę lukę do podniesienia swoich uprawnień do rangi roota.
Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Klienci Zoom Rooms for macOS przed wersją 5.11.3

Źródło: Zgłoszenie: Kirin (Pwnrin)

ZSB-22031 01/06/2023 Niebezpieczne generowanie klucza dla klientów Zoom Rooms for macOS Średni CVE-2022-36925

Poziom istotności: Średni

Wynik CVSS: 4.4

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

Opis: Klienci Zoom Rooms for macOS przed wersją 5.11.4 zawierają lukę w zabezpieczeniach w postaci niebezpiecznego mechanizmu generowania klucza. Klucz szyfrowania użytego dla IPC pomiędzy usługą demona Zoom Rooms a klientem Zoom Rooms był generowany za pomocą parametrów, które można było uzyskać poprzez lokalną aplikację o niewielkich uprawnieniach. Takiego klucza można było użyć do interakcji z usługą demona, który wykonywał funkcje zabezpieczone uprawnieniami i tym samym wywołać odmowę wykonania usługi.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zoom Rooms for macOS przed wersją 5.11.4

Źródło: Zgłoszenie: Kirin (Pwnrin)

ZSB-22030 11/15/2022 Lokalna eskalacja uprawnień w instalatorze Zoom Rooms do systemu Windows Wysoki CVE-2022-36924

Poziom istotności: Wysoki

Wynik CVSS: 8.8

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Opis: Instalator Zoom Rooms do systemu Windows przed wersją 5.12.6 zawiera lukę w zabezpieczeniach umożliwiającą eskalację lokalnych uprawnień. Lokalny, nisko uprzywilejowany użytkownik może wykorzystać tę lukę podczas procesu instalacji do podniesienia (eskalacji) swoich uprawnień do poziomu użytkownika SYSTEM.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Instalator Zoom Rooms do systemu Windows przed wersją 5.12.6

Źródło: Zgłoszono przez: sim0nsecurity

ZSB-22029 11/15/2022 Lokalna eskalacja uprawnień w instalatorze Zoom Client do systemu macOS Wysoki CVE-2022-28768

Poziom istotności: Wysoki

Wynik CVSS: 8.8

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Opis: Instalator Zoom Client for Meetings do systemu macOS (standardowy i dla administratorów IT) przed wersją 5.12.6 zawiera lukę w zabezpieczeniach umożliwiającą eskalację lokalnych uprawnień. Lokalny, nisko uprzywilejowany użytkownik może wykorzystać tę lukę podczas procesu instalacji do podniesienia swoich uprawnień do rangi roota.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Instalator Zoom Client for Meetings do systemu macOS (wersja standardowa i dla administratorów IT) przed wersją 5.12.6

Źródło: Zgłoszenie: Koh M. Nakagawa (tsunekoh)

ZSB-22027 11/15/2022 Wstrzyknięcie DLL w Zoom Windows Clients Wysoki CVE-2022-28766

Poziom istotności: Wysoki

Wynik CVSS: 8.1

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L

Opis: 32-bitowe wersje systemu Windows w przypadku Zoom Client for Meetings przed wersją 5.12.6 i Zoom Rooms do sali konferencyjnej (Zoom Rooms for Conference Room) przed wersją 5.12.6 są podatne na atak z wykorzystaniem wstrzyknięcia DLL. Lokalny, nisko uprzywilejowany użytkownik może wykorzystać tę lukę do uruchomienia arbitralnego kodu w kontekście klienta Zoom.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zoom Client for Meetings do systemu Windows (wersja 32-bitowa) przed 5.12.6
  • Zoom VDI Windows Meeting Client do systemu Windows (wersja 32-bitowa) przed wersją 5.12.6
  • Zoom Rooms do sali konferencyjnej (Zoom Rooms for Conference Room) do systemu Windows (wersja 32-bitowa) przed wersją 5.12.6

Źródło: Zgłoszono przez: sim0nsecurity

ZSB-22025 11/10/2022 Wyjawienie lokalnych informacji w Zoom Clients (klienci Zoom) Niska CVE-2022-28764

Poziom istotności: Niska

Wynik CVSS: 3.3

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Opis: Zoom Client for Meetings (do systemu Android, iOS, Linux, macOS i Windows) przed wersją 5.12.6 jest podatny na lukę w zakresie wyjawiania lokalnych informacji.

Brak usunięcia danych z lokalnej bazy danych SQL po zakończeniu spotkania i wykorzystywanie niedostatecznie bezpiecznego klucza urządzenia szyfrującego tę bazę danych sprawia, że wykonujący złośliwe działania lokalny użytkownik może pozyskać informacje o spotkaniu, takie jak czat podczas spotkania w przypadku poprzedniego spotkania, w którym wzięto udział z tego konta lokalnego użytkownika.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zoom Client for Meetings (do systemów Android, iOS, Linux, macOS i Windows) przed wersją 5.12.6
  • Zoom VDI Windows Meeting Clients przed wersją 5.12.6
  • Zoom Rooms do sali konferencyjnej (Zoom Rooms for Conference Room) (do systemu Android, iOS, Linux, macOS i Windows) przed wersją 5.12.6

Źródło: Zgłoszenie – Christian Zäske z firmy SySS GmbH

ZSB-22024 10/24/2022 Nieprawidłowe przetwarzanie adresów URL w klientach Zoom Wysoki CVE-2022-28763

Poziom istotności: Wysoki

Wynik CVSS: 8.8

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Opis: Zoom Client for Meetings (do systemów Android, iOS, Linux, macOS i Windows) przed wersją 5.12.2 jest podatny na lukę w przetwarzaniu adresów URL. W przypadku otwarcia złośliwego adresu URL do spotkania Zoom złośliwy link może skierować użytkownika do połączenia z arbitralnym adresem sieciowym, co prowadzi do dodatkowych ataków, w tym możliwości przejęcia sesji.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zoom Client for Meetings (do systemów Android, iOS, Linux, macOS i Windows) przed wersją 5.12.2
  • Zoom VDI Windows Meeting Clients przed wersją 5.12.2
  • Zoom Rooms do sali konferencyjnej (Zoom Rooms for Conference Room) (do systemu Android, iOS, Linux, macOS i Windows) przed wersją 5.12.2

Źródło: Zgłoszono przez: zespół bezpieczeństwa Zoom

ZSB-22023 10/11/2022 Błędna konfiguracja portu debugowania w Zoom Apps w Zoom Client for Meetings dla systemu macOS Wysoki CVE-2022-28762

Poziom istotności: Wysoki

Wynik CVSS: 7.3

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

Opis: Zoom Client for Meetings dla systemu macOS (Standard i dla administratorów IT) od wersji 5.10.6 i wersje starsze niż 5.12.0 zawiera błędną konfigurację portu debugowania. Gdy kontekst renderowania w trybie kamery jest włączony w ramach interfejsu Zoom App Layers API przez uruchomienie niektórych aplikacji Zoom Apps, lokalny port debugowania jest otwierany przez klienta Zoom. Lokalny użytkownik podejmujący złośliwe działania może użyć tego portu debugowania, aby połączyć się z aplikacjami Zoom Apps uruchomionymi w kliencie Zoom i kontrolować je.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zoom Client for Meetings dla systemu MacOS (Standard i dla administratorów IT) od wersji 5.10.6 i wersje starsze niż 5.12.0

Źródło: Zgłoszono przez: zespół bezpieczeństwa Zoom

ZSB-22022 10/11/2022 Wdrożenia lokalne Zoom: niewłaściwa kontrola dostępu Średni CVE-2022-28761

Poziom istotności: Średni

Wynik CVSS: 6.5

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Opis: Lokalny dodatek spotkania Zoom MMR przed wersją 4.8.20220916.131 zawiera lukę związaną z niewłaściwą kontrolą dostępu. W rezultacie osoba podejmująca złośliwe działania podczas spotkania lub webinaru, do którego ma uprawnienia do dołączenia, może uniemożliwić uczestnikom odbieranie dźwięku i obrazu, powodując zakłócenia spotkania.

W przypadku wdrożeń lokalnych Zoom administratorzy IT mogą pomóc w aktualizacji oprogramowania Zoom, postępując w następujący sposób: https://support.zoom.us/hc/en-us/articles/360043960031

Produkty, których dotyczy problem:

  • Lokalny dodatek spotkania Zoom MMR przed wersją 4.8.20220916.131

Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń

ZSB-22021 09/13/2022 Wdrożenia lokalne Zoom: niewłaściwa kontrola dostępu Średni CVE-2022-28760

Poziom istotności: Średni

Wynik CVSS: 6.5

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Opis: Lokalny dodatek spotkania (Meeting Connector) Zoom MMR przed wersją 4.8.20220815.130 zawiera lukę związaną z niewłaściwą kontrolą dostępu. W rezultacie osoba podejmująca złośliwe działania może dołączyć do spotkania, do którego dołączenia ma uprawnienia, nie ujawniając się innym uczestnikom.

W przypadku wdrożeń lokalnych Zoom administratorzy IT mogą pomóc w aktualizacji oprogramowania Zoom, postępując w następujący sposób: https://support.zoom.us/hc/en-us/articles/360043960031

Produkty, których dotyczy problem:

  • Lokalny dodatek spotkania (Meeting Connector) Zoom MMR przed wersją 4.8.20220815.130

Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń

ZSB-22020 09/13/2022 Wdrożenia lokalne Zoom: niewłaściwa kontrola dostępu Wysoki CVE-2022-28758
CVE-2022-28759

Poziom istotności: Wysoki

Wynik CVSS: 8.2

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Opis: Lokalny dodatek spotkania (Meeting Connector) Zoom MMR przed wersją 4.8.20220815.130 zawiera lukę związaną z niewłaściwą kontrolą dostępu. W rezultacie osoba podejmująca złośliwe działania może uzyskać przekaz audio i wideo ze spotkania, do którego dołączenia nie była upoważniona, i spowodować inne zakłócenia spotkania.

W przypadku wdrożeń lokalnych Zoom administratorzy IT mogą pomóc w aktualizacji oprogramowania Zoom, postępując w następujący sposób: https://support.zoom.us/hc/en-us/articles/360043960031

Produkty, których dotyczy problem:

  • Lokalny dodatek spotkania (Meeting Connector) Zoom MMR przed wersją 4.8.20220815.130

Źródło: Zgłoszono przez: zespół bezpieczeństwa Zoom

ZSB-22019 08/17/2022 Lokalna eskalacja uprawnień w automatycznych aktualizacjach dla Zoom Client for Meetings dla systemu macOS Wysoki CVE-2022-28757

Poziom istotności: Wysoki

Wynik CVSS: 8.8

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Opis: Zoom Client for Meetings dla systemu macOS (standardowy i dla administratora IT) począwszy od wersji 5.7.3 i przed 5.11.6 zawiera lukę w procesie automatycznej aktualizacji. Lokalny, nisko uprzywilejowany użytkownik może wykorzystać tę lukę do podniesienia swoich uprawnień do rangi roota.

Uwaga: ten błąd pozwala na obejście poprawki wydanej w wersji 5.11.5, rozwiązującej problem CVE-2022-28756.

Użytkownicy mogą pomóc w zapewnieniu sobie bezpieczeństwa, stosując bieżące aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi bieżącymi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zoom Client for Meetings dla systemu MacOS (wersja standardowa i dla administratora IT) od wersji 5.7.3 i przed wersją 5.11.6

Źródło: Zgłoszono przez: Csaba Fitzl (theevilbit) z Offensive Security

ZSB-22018 08/13/2022 Lokalna eskalacja uprawnień w automatycznych aktualizacjach dla produktów Zoom dla systemu macOS [Updated 2022-09-13] Wysoki CVE-2022-28756

Poziom istotności: Wysoki

Wynik CVSS: 8.8

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Opis: Zoom Client for Meetings dla systemu macOS (standardowy i dla administratora IT) od wersji 5.7.3 i przed 5.11.5 oraz Zoom Rooms dla sali konferencyjnej (Zoom Rooms for Conference Room) dla systemu macOs przed wersją 5.11.6 zawierają lukę w procesie automatycznej aktualizacji. Lokalny, nisko uprzywilejowany użytkownik może wykorzystać tę lukę do podniesienia swoich uprawnień do rangi roota.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

* Zmiany – 13.09.2022 – zaktualizowano tytuł, opis i dodano Zoom Rooms do sekcji „Produkty, których to dotyczy”.

Produkty, których dotyczy problem:

  • Zoom Client for Meetings dla systemu MacOS (wersja standardowa i dla administratora IT) od wersji 5.7.3 i przed wersją 5.11.5
  • Zoom Rooms do sali konferencyjnej (Zoom Rooms for Conference Room) dla systemu Windows przed wersją 5.11.6

Źródło: Zgłoszenie: Patrick Wardle z Objective-See

ZSB-22017 08/09/2022 Lokalna eskalacja uprawnień w Zoom Client for Meetings dla systemu macOS Wysoki CVE-2022-28751

Poziom istotności: Wysoki

Wynik CVSS: 8.8

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Opis: Zoom Client for Meetings dla systemu MacOS (standardowy i dla administratora IT) przed wersją 5.11.3 zawiera lukę w walidacji podpisu pakietu podczas procesu aktualizacji. Lokalny, nisko uprzywilejowany użytkownik może wykorzystać tę lukę do podniesienia swoich uprawnień do rangi roota.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zoom Client for Meetings dla systemu MacOS (wersja standardowa i dla administratora IT) przed wersją 5.11.3

Źródło: Zgłoszenie: Patrick Wardle z Objective-See

ZSB-22014 08/09/2022 Wdrożenia lokalne Zoom: niewłaściwa kontrola dostępu Wysoki CVE-2022-28753
CVE-2022-28754

Poziom istotności: Wysoki

Wynik CVSS: 7.1

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N

Opis: Lokalny dodatek spotkania (Meeting Connector) Zoom MMR przed wersją 4.8.129.20220714 zawiera lukę związaną z niewłaściwą kontrolą dostępu. W rezultacie osoba podejmująca złośliwe działania może dołączyć do spotkania, do którego dołączenia ma uprawnienia, nie ujawniając się innym uczestnikom, może wpuścić się na spotkanie z poczekalni, a także zostać prowadzącym i spowodować inne zakłócenia spotkania.

W przypadku wdrożeń lokalnych Zoom administratorzy IT mogą pomóc w aktualizacji oprogramowania Zoom, postępując w następujący sposób: https://support.zoom.us/hc/en-us/articles/360043960031

Produkty, których dotyczy problem:

  • Lokalny dodatek spotkania (Meeting Connector) Zoom MMR przed wersją 4.8.129.20220714

Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń

ZSB-22016 08/09/2022 Nieprawidłowe przetwarzanie adresów URL w klientach Zoom [Updated 2022-10-24] Krytyczny CVE-2022-28755

Poziom istotności: Krytyczny

Wynik CVSS: 9.6

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Opis: Zoom Client for Meetings (dla systemu Android, iOS, Linux, macOS i Windows) przed wersją 5.11.0 jest podatny na lukę w przetwarzaniu adresów URL. W przypadku otwarcia złośliwego adresu URL do spotkania Zoom złośliwy link może skierować użytkownika do połączenia z arbitralnym adresem sieciowym, co prowadzi do dodatkowych ataków, w tym możliwości zdalnego wykonania kodu poprzez uruchomienie plików wykonywalnych z dowolnych ścieżek.

* Zmiany – 24.10.2022 – dodano Zoom Rooms do sekcji „Produkty, których to dotyczy”.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zoom Client for Meetings (dla systemów operacyjnych Android, iOS, Linux, macOS i Windows) przed wersją 5.11.0

Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń

ZSB-22012 08/09/2022 Lokalne wdrożenia Zoom: przepełnienie bufora stosu w dodatku spotkania Wysoki CVE-2022-28750

Poziom istotności: Wysoki

Wynik CVSS: 7.5

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Opis: Kontroler stacjonarnego dodatku spotkania (Meeting Connector, ZC) przed wersją 4.8.20220419.112 nie przetwarza poprawnie kodów błędów STUN, co może skutkować uszkodzeniem pamięci i umożliwić osobie podejmującej złośliwe działania wywołanie awarii aplikacji. W wersjach starszych niż 4.8.12.20211115 luka ta może zostać wykorzystana do wykonania dowolnego kodu.

W przypadku wdrożeń lokalnych Zoom administratorzy IT mogą pomóc w aktualizacji oprogramowania Zoom, postępując w następujący sposób: https://support.zoom.us/hc/en-us/articles/360043960031

Produkty, których dotyczy problem:

  • Kontroler stacjonarnego dodatku spotkania (Meeting Connector, ZC) Zoom przed wersją 4.8.20220419.112

Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń

ZSB-22011 06/14/2022 Niewystarczająca weryfikacja uprawnień podczas dołączania do spotkania Średni CVE-2022-28749

Poziom istotności: Średni

Wynik CVSS: 6.5

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Opis: Lokalny dodatek spotkania (Meeting Connector) MMR Zoom przed wersją 4.8.113.20220526 nie sprawdza dokładnie uprawnień uczestników spotkania Zoom. W związku z tym znajdujący się w poczekalni Zoom podmiot zagrażający może dołączyć do spotkania bez zgody prowadzącego.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Lokalny dodatek spotkania (Meeting Connector) Zoom przed wersją 4.8.113.20220526

Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń

ZSB- 22010 06/14/2022 Wstrzyknięcie DLL w instalatorze rozszerzenia Zoom Opener dla klientów Zoom i Zoom Rooms Wysoki CVE-2022-22788

Poziom istotności: Wysoki

Wynik CVSS: 7.1

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

Opis: Instalator rozszerzenia Zoom Opener jest pobierany przez użytkownika ze strony „Rozpocznij spotkanie” podczas próby dołączenia do spotkania bez zainstalowanego klienta Zoom Meeting. Instalatory Zoom Opener dla Zoom Client for Meetings przed wersją 5.10.3 i Zoom Rooms for Conference Room na Windows przed wersją 5.10.3 są podatne na atak z wykorzystaniem wstrzyknięcia DLL. Ta podatność może być wykorzystana do uruchomienia dowolnego kodu na hoście ofiary.

Użytkownicy mogą się zabezpieczyć, usuwając starsze wersje instalatorów Zoom Opener i uruchamiając najnowszą wersję instalatora Zoom Opener poprzez kliknięcie przycisku „Pobierz teraz” na stronie „Rozpocznij spotkanie”. Ponadto mogą także uzyskać ochronę, pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami bezpieczeństwa ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zoom Client for Meetings dla systemu operacyjnego Windows przed wersją 5.10.3
  • Zoom Rooms do sali konferencyjnej (Zoom Rooms for Conference Room) do systemu Windows przed wersją 5.10.3

Źródło: Zgłoszone przez: James Tsz Ko Yeung

ZSB-22009 05/17/2022 Niewystarczająca walidacja nazwy hosta podczas przełączania serwerów w kliencie Zoom Client for Meetings Średni CVE-2022-22787

Poziom istotności: Średni

Wynik CVSS: 5.9

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Opis: Klient Zoom Client for Meetings (dla systemów Android, iOS, Linux i Windows) w wersji starszej niż 5.10.0 nie weryfikuje prawidłowo nazwy hosta podczas żądań przełączenia serwera. Ten problem mógłby zostać wykorzystany w bardziej zaawansowanym ataku polegającym na oszukaniu nieświadomego użytkownika w celu połączenia go ze złośliwym serwerem podczas próby korzystania z usług Zoom.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zoom Client for Meetings (dla systemów operacyjnych Android, iOS, Linux, macOS i Windows) przed wersją 5.10.0

Źródło: Zgłoszenie: Ivan Fratric, Google Project Zero

ZSB-22008 05/17/2022 Cofnięcie wersji pakietu aktualizacji w kliencie Zoom Client for Meetings dla systemu Windows Wysoki CVE-2022-22786

Poziom istotności: Wysoki

Wynik CVSS: 7.5

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Opis: Klient Zoom Client for Meetings dla systemu Windows przed wersją 5.10.0 i Zoom Rooms dla sali konferencyjnej dla systemu Windows przed wersją 5.10.0 nie sprawdza prawidłowo wersji instalacji podczas procesu aktualizacji. Ten problem mógłby zostać wykorzystany w bardziej zaawansowanym ataku polegającym na oszukaniu użytkownika w celu obniżenia wersji klienta Zoom do mniej bezpiecznej wersji.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Wszystkie wersje Zoom Client for Meetings dla systemu Windows przed wersją 5.10.0
  • Zoom Rooms do sali konferencyjnej (Zoom Rooms for Conference Room) dla systemu Windows przed wersją 5.10.0

Źródło: Zgłoszenie: Ivan Fratric, Google Project Zero

ZSB-22007 05/17/2022 Nieprawidłowo ograniczone pliki cookie sesji w kliencie Zoom Client for Meetings Średni CVE-2022-22785

Poziom istotności: Średni

Wynik CVSS: 5.9

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Opis: Klient Zoom Client for Meetings (dla systemów Android, iOS, Linux i Windows) w wersji starszej niż 5.10.0 nie ogranicza prawidłowo plików cookie sesji klienta do domen Zoom. Ten problem mógłby zostać wykorzystany w bardziej zaawansowanym ataku polegającym na wysłaniu plików cookie sesji z zakresu Zoom użytkownika do domeny innej niż domena Zoom. Mogłoby to potencjalnie umożliwić spoofing użytkownika Zoom.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zoom Client for Meetings (dla systemów operacyjnych Android, iOS, Linux, macOS i Windows) przed wersją 5.10.0

Źródło: Zgłoszenie: Ivan Fratric, Google Project Zero

ZSB- 22006 05/17/2022 Nieprawidłowe analizowanie plików XML w kliencie Zoom Client for Meetings Wysoki CVE-2022-22784

Poziom istotności: Wysoki

Wynik CVSS: 8.1

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Opis: Klient Zoom Client for Meetings (dla systemów Android, iOS, Linux i Windows) w wersji starszej niż 5.10.0 nie analizuje prawidłowo plików XML w wiadomościach XMPP. Może to prowadzić do wybicia złośliwego użytkownika z bieżącego kontekstu wiadomości XMPP i utworzenia nowego kontekstu wiadomości w celu wykonania różnych działań na platformie klienta użytkownika otrzymującego wiadomość. Ten problem mógłby zostać wykorzystany w bardziej zaawansowanych atakach w celu podrabiania wiadomości XMPP pochodzących z serwera.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zoom Client for Meetings (dla systemów operacyjnych Android, iOS, Linux, macOS i Windows) przed wersją 5.10.0

Źródło: Zgłoszenie: Ivan Fratric, Google Project Zero

ZSB- 22005 04/27/2022 Ujawnienie pamięci procesowej w usługach lokalnych spotkań na platformie Zoom Wysoki CVE-2022-22783

Poziom istotności: Wysoki

Wynik CVSS: 8.3

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/CR:H

Opis: Luka w zabezpieczeniach w kontrolerze Zoom On-Premise Meeting Connector Controller w wersji 4.8.102.20220310 oraz w łączniku On-Premise Meeting Connector MMR w wersji 4.8.102.20220310 ujawnia fragmenty pamięci podłączonym klientom, co może być obserwowane przez pasywne osoby atakujące.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń.

Produkty, których dotyczy problem:

  • Kontroler Zoom On-Premise Meeting Connector Controller w wersji 4.8.102.20220310
  • Łącznik Zoom On-Premise Meeting Connector MMR w wersji 4.8.102.20220310

Źródło: Zespół Zoom ds. zabezpieczeń

ZSB-22004 04/27/2022 Lokalna eskalacja uprawnień w klientach Zoom Client w systemie Windows Wysoki CVE-2022-22782

Poziom istotności: Wysoki

Wynik CVSS: 7.9

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

Opis: Zoom Client for Meetings dla systemu Windows przed wersją 5.9.7, Zoom Rooms dla sali konferencyjnej dla systemu Windows przed wersją 5.10.0, wtyczki Zoom dla programu Microsoft Outlook dla systemu Windows przed wersją 5.10.3 oraz klienty spotkań Zoom VDI dla systemu Windows przed wersją 5.9.6; podlegały problemowi z lokalną eskalacją uprawnień podczas operacji naprawy instalatora. Atakujący mógł wykorzystać tę lukę do potencjalnego usunięcia plików i folderów na poziomie systemowym, co mogło doprowadzić do problemów ze spójnością lub dostępnością na komputerach hostów.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Wszystkie klienty Zoom Client for Meetings dla systemu Windows przed wersją 5.9.7
  • Wszystkie klienty Zoom Rooms dla sali konferencyjnej dla systemu Windows przed wersją 5.10.0
  • Wszystkie wtyczki Zoom dla programu Microsoft Outlook dla systemu Windows przed wersją 5.10.3
  • Wszystkie klienty spotkań Zoom VDI dla systemu Windows przed wersją 5.9.6

Źródło: Zgłoszenie: Zero Day Initiative

ZSB-22003 04/27/2022 Cofnięcie wersji pakietu aktualizacji w kliencie Zoom Client for Meetings dla systemu MacOS Wysoki CVE-2022-22781

Poziom istotności: Wysoki

Wynik CVSS: 7.5

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Opis: Zoom Client for Meetings dla systemu MacOS (standardowy i dla administratora IT) przed wersją 5.9.6 nie sprawdzał prawidłowo wersji pakietu w procesie aktualizacji. Może to doprowadzić do sytuacji, w której atakujący zaktualizuje bieżącą, zainstalowaną wersję nieświadomego użytkownika do mniej bezpiecznej wersji.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Wszystkie klienty Zoom Client for Meetings dla systemu MacOS (standardowe i dla administratora IT) przed wersją 5.9.6

Źródło: Zgłoszenie: Patrick Wardle z Objective-See

ZSB-22002 02/08/2022 Zoom Team Chat podatny na bombę dekompresyjną Średni CVE-2022-22780

Poziom istotności: Średni

Wynik CVSS: 4.7

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L

Opis: Funkcja czatu Zoom Client for Meetings okazała się podatna na ataki bombą dekompresyjną w następujących wersjach produktu: dla systemu operacyjnego Android przed wersją 5.8.6, dla systemu operacyjnego iOS przed wersją 5.9.0, dla systemu operacyjnego Linux przed wersją 5.8.6, dla systemu operacyjnego macOS przed wersją 5.7.3 oraz dla systemu operacyjnego Windows przed wersją 5.6.3. Może to prowadzić do problemów z dostępnością na hoście klienta ze względu na wyczerpanie zasobów systemowych.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Wszystkie wersje Zoom Client for Meetings dla systemu Windows przed wersją 5.5.4.
  • Wszystkie wersje Zoom Client for Meetings dla systemu Windows przed wersją 5.5.4.
  • Wszystkie wersje Zoom Client for Meetings dla systemu Windows przed wersją 5.5.4.
  • Wszystkie wersje Zoom Client for Meetings dla systemu Windows przed wersją 5.5.4.
  • Wszystkie wersje Zoom Client for Meetings dla systemu Windows przed wersją 5.6.3.

Źródło: Zgłoszenie: Johnny Yu z Walmart Global Tech

ZSB-22001 02/08/2022 Zachowano eksplodowane wiadomości w klientach Keybase dla systemów Android oraz iOS Niska CVE-2022-22779

Poziom istotności: Niska

Wynik CVSS: 3.7

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Opis: Klienci Keybase dla systemów macOS i Windows wcześniejszych niż 5.9.0 nie usuwają z powodzeniem eksplodowanych wiadomości zainicjowanych przez użytkownika. Może się tak stać, jeśli użytkownik-odbiorca przełączy się na funkcję inną niż czat i przełączy prowadzącego w stan uśpienia przed eksplozją wiadomości od użytkownika-nadawcy. Może to spowodować ujawnienie poufnych informacji, które miały zostać usunięte z urządzenia klienta.

Użytkownicy mogą zadbać o własne bezpieczeństwo, korzystając z bieżących aktualizacji lub pobierając najnowsze oprogramowanie Keybase ze wszystkimi najnowszymi aktualizacjami bezpieczeństwa ze strony https://keybase.io/download.

Produkty, których dotyczy problem:

  • Wszystkie klienty Keybase dla systemu Windows przed wersją 5.6.0

Źródło: Zgłoszone przez Olivię O'Harę

ZSB-21022 12/14/2021 Arbitralna realizacja polecenia w kliencie Keybase dla systemu Windows Średni CVE-2021-34426

Poziom istotności: Średni

Wynik CVSS: 5.3

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

Opis: W kliencie Keybase dla systemu Windows przed wersją 5.6.0 wykryto słaby punkt (lukę), gdy użytkownik realizował polecenie „keybase git lfs-config” w wierszu polecenia. W wersjach przed 5.6.0 złośliwy element z uprawnieniem do edycji repozytorium Git użytkownika mógł wykorzystać ten słaby punkt, aby potencjalnie realizować arbitralne polecenia Windows w lokalnym systemie użytkownika.

Użytkownicy mogą zadbać o własne bezpieczeństwo, korzystając z bieżących aktualizacji lub pobierając najnowsze oprogramowanie Keybase ze wszystkimi najnowszymi aktualizacjami bezpieczeństwa ze strony https://keybase.io/download.

Produkty, których dotyczy problem:

  • Wszystkie klienty Keybase dla systemu Windows przed wersją 5.6.0

Źródło: Zgłoszenie: RyotaK

ZSB-21021 12/14/2021 Fałszowanie żądań ze strony serwera w czacie Zoom Client for Meetings Średni CVE-2021-34425

Poziom istotności: Średni

Wynik CVSS: 4.7

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N

Opis: Zoom Client for Meetings przed wersją 5.7.3 (w przypadku systemów operacyjnych Android, iOS, Linux, macOS i Windows) zawiera słaby punkt polegający na fałszowaniu żądań ze strony serwera w funkcji „podgląd łącza” czatu. W wersjach przed 5.7.3, gdy użytkownik włączał funkcję „podglądu łącza” czatu, złośliwy element mógł wymusić na nim ewentualne przesyłanie arbitralnych żądań HTTP GET do URL, do których element nie może zyskać bezpośrednio dostępu.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Wszystkie wersje Zoom Client for Meetings (dla systemów operacyjnych Android, iOS, Linux, macOS i Windows) przed wersją 5.7.3

Źródło: Zgłoszenie: Johnny Yu z Walmart Global Tech

ZSB-21020 11/24/2021 Ekspozycja pamięci procesowej w Zoom Client oraz innych produktach Średni CVE-2021-34424

Poziom istotności: Średni

Wynik CVSS: 5.3

Ciąg wektora CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Opis: W produktach wymienionych w sekcji „Produkty, których to dotyczy” niniejszego biuletynu wykryto słaby punkt (lukę), co potencjalnie umożliwiło ekspozycję stanu pamięci procesowej. Ta kwestia może potencjalnie pozwolić uzyskać dostęp do arbitralnych obszarów pamięci produktu.

Zoom zajął się tym problemem w najnowszych wersjach produktów wymienionych w poniższej sekcji. Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń.

Produkty, których dotyczy problem:

  • Zoom Client for Meetings (dla systemów operacyjnych Android, iOS, Linux, macOS i Windows) przed wersją 5.8.4
  • Zoom Client for Meetings dla BlackBerry (dla systemów operacyjnych Android oraz iOS) przed wersją 5.8.1
  • Zoom Client for Meetings dla intune (dla systemów operacyjnych Android oraz iOS) przed wersją 5.8.4
  • Zoom Client for Meetings dla Chrome OS przed wersją 5.0.1
  • Zoom Rooms do sali konferencyjnej (Zoom Rooms for Conference Room) (dla systemu Android, AndroidBali, macOS i Windows) przed wersją 5.8.3
  • Kontrolery do Zoom Rooms (dla systemów Android, iOS oraz Windows) przed wersją 5.8.3
  • Zoom VDI Windows Meeting Client przed wersją 5.8.4
  • Wtyczki Zoom VDI Azure Virtual Desktop (dla systemu Windows x86 lub x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) przed wersją 5.8.4.21112
  • Wtyczki Zoom VDI Citrix (dla systemu Windows x86 lub x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) przed wersją 5.8.4.21112
  • Wtyczki Zoom VDI VMware (dla systemu Windows x86 lub x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) przed wersją 5.8.4.21112
  • Zoom Meeting SDK dla systemu Android przed wersją 5.7.6.1922
  • Zoom Meeting SDK dla iOS przed wersją 5.7.6.1082
  • Zoom Meeting SDK dla systemu Windows przed wersją 5.7.6.1081
  • Zoom Meeting SDK dla systemu Mac przed wersją 5.7.6.1340
  • Wideo Zoom SDK (dla systemu Android, iOS, macOS i Windows) przed wersją 1.1.2
  • Lokalny dodatek spotkania (Meeting Connector) Zoom przed wersją 4.8.12.20211115
  • Lokalny dodatek spotkania (Meeting Connector) Zoom MMR przed wersją 4.8.12.20211115
  • Lokalny dodatek nagrania (Recording Connector) Zoom przed wersją 5.1.0.65.20211116
  • Lokalny dodatek Virtual Room Zoom przed wersją 4.4.7266.20211117
  • Load Balancer lokalnego dodatku Virtual Room Zoom przed wersją 2.5.5692.20211117
  • Zoom Hybrid Zproxy przed wersją 1.0.1058.20211116
  • Zoom Hybrid MMR przed wersją 4.6.20211116.131_x86-64

Źródło: Zgłoszenie: Natalie Silvanovich z Google Project Zero

ZSB-21019 11/24/2021 Przepełnienie bufora w Zoom Client i innych produktach Wysoki CVE-2021-34423

Poziom istotności: Wysoki

Wynik CVSS: 7.3

Ciąg wektora CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Opis: W przypadku produktów wymienionych w sekcji „Produkty, których to dotyczy” tego biuletynu wykryto słaby punkt polegający na przepełnieniu buforu. Potencjalnie pozwoli to złośliwemu elementowi spowodować zawieszenie usługi lub aplikacji bądź wykorzystać ten słaby punkt do realizacji arbitralnego kodu.

Zoom zajął się tym problemem w najnowszych wersjach produktów wymienionych w poniższej sekcji. Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń.

Produkty, których dotyczy problem:

  • Zoom Client for Meetings (dla systemów operacyjnych Android, iOS, Linux, macOS i Windows) przed wersją 5.8.4
  • Zoom Client for Meetings dla BlackBerry (dla systemów operacyjnych Android oraz iOS) przed wersją 5.8.1
  • Zoom Client for Meetings dla intune (dla systemów operacyjnych Android oraz iOS) przed wersją 5.8.4
  • Zoom Client for Meetings dla Chrome OS przed wersją 5.0.1
  • Zoom Rooms do sali konferencyjnej (Zoom Rooms for Conference Room) (dla systemu Android, AndroidBali, macOS i Windows) przed wersją 5.8.3
  • Kontrolery do Zoom Rooms (dla systemów Android, iOS oraz Windows) przed wersją 5.8.3
  • Zoom VDI Windows Meeting Client przed wersją 5.8.4
  • Wtyczki Zoom VDI Azure Virtual Desktop (dla systemu Windows x86 lub x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) przed wersją 5.8.4.21112
  • Wtyczki Zoom VDI Citrix (dla systemu Windows x86 lub x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) przed wersją 5.8.4.21112
  • Wtyczki Zoom VDI VMware (dla systemu Windows x86 lub x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) przed wersją 5.8.4.21112
  • Zoom Meeting SDK dla systemu Android przed wersją 5.7.6.1922
  • Zoom Meeting SDK dla iOS przed wersją 5.7.6.1082
  • Zoom Meeting SDK dla macOS przed wersją 5.7.6.1340
  • Zoom Meeting SDK dla systemu Windows przed wersją 5.7.6.1081
  • Wideo Zoom SDK (dla systemu Android, iOS, macOS i Windows) przed wersją 1.1.2
  • Kontroler stacjonarnego dodatku spotkania (Meeting Connector) Zoom przed wersją 4.8.12.20211115
  • Lokalny dodatek spotkania (Meeting Connector) Zoom MMR przed wersją 4.8.12.20211115
  • Lokalny dodatek nagrania (Recording Connector) Zoom przed wersją 5.1.0.65.20211116
  • Lokalny dodatek Virtual Room Zoom przed wersją 4.4.7266.20211117
  • Load Balancer lokalnego dodatku Virtual Room Zoom przed wersją 2.5.5692.20211117
  • Zoom Hybrid Zproxy przed wersją 1.0.1058.20211116
  • Zoom Hybrid MMR przed wersją 4.6.20211116.131_x86-64

Źródło: Źródło: zgłoszone przez Natalie Silvanovich z Google Project Zero

ZSB-21018 11/09/2021 Przeszukiwanie ścieżek nazw plików w kliencie Keybase dla systemu Windows Wysoki CVE-2021-34422

Poziom istotności: Wysoki

Wynik CVSS: 7.2

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

Opis: Klient Keybase dla systemu operacyjnego Windows przed wersją 5.7.0 zawiera słaby punkt polegający na przeszukiwaniu ścieżki podczas sprawdzania nazwy pliku przesłanego do grupowego folderu. Złośliwy użytkownik może przesłać plik do udostępnionego folderu ze specjalną nazwą pliku, przez co może uruchomić na urządzeniu hosta nieprzewidzianą dla niego aplikację. Jeśli złośliwy użytkownik wykorzystałby ten błąd w ramach funkcji udostępniania folderów publicznych klienta Keybase, mogłoby to spowodować zdalną realizację kodu.

Błąd ten został naprawiony w wersji 5.7.0 klienta Keybase dla systemu Windows. Użytkownicy mogą zadbać o własne bezpieczeństwo, korzystając z bieżących aktualizacji lub pobierając najnowsze oprogramowanie Keybase ze wszystkimi najnowszymi aktualizacjami bezpieczeństwa ze strony https://keybase.io/download.

Produkty, których dotyczy problem:

  • Klient Keybase dla systemu Windows przed wersją 5.7.0

Źródło: Zgłoszenie: m4t35z

ZSB-21017 11/09/2021 Zachowano eksplodowane wiadomości w klientach Keybase dla systemów Android oraz iOS Niska CVE-2021-34421

Poziom istotności: Niska

Wynik CVSS: 3.7

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Opis: Klient Keybase dla systemu Android przed wersją 5.8.0 oraz klient Keybase dla systemu iOS przed wersją 5.8.0 nie może odpowiednio usunąć wiadomości eksplodowanych zainicjowanych przez użytkownika, jeśli odbierający użytkownik umieścił sesję czatu w tle, gdy wysyłający użytkownik eksplodował wiadomości. Może to spowodować ujawnienie poufnych informacji, które miały zostać usunięte z urządzenia klienta.

Keybase naprawił ten problem w kliencie Keybase 5.8.0 dla systemu Android oraz w kliencie Keybase 5.8.0 dla systemu iOS. Użytkownicy mogą zadbać o własne bezpieczeństwo, korzystając z bieżących aktualizacji lub pobierając najnowsze oprogramowanie Keybase ze wszystkimi najnowszymi aktualizacjami bezpieczeństwa ze strony https://keybase.io/download.

Produkty, których dotyczy problem:

  • Wszystkie wersje klienta Keybase dla systemu Android przed wersją 5.8.0
  • Wszystkie klienty Keybase dla iOS przed wersją 5.8.0

Źródło: Zgłoszenie: Olivia O'Hara, John Jackson, Jackson Henry i Robert Willis

ZSB-21016 11/09/2021 Obejście podpisu pliku wykonywalnego instalacji Zoom Windows Średni CVE-2021-34420

Poziom istotności: Średni

Wynik CVSS: 4.7

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N

Opis: Zoom Client for Meetings dla instalatora systemu Windows przed wersją 5.5.4 nie weryfikuje odpowiednio podpisu plików z rozszerzeniami .msi, .ps1 i .bat. Wskutek tego złośliwy element może zainstalować złośliwe oprogramowanie na komputerze klienta.

Zoom naprawił ten problem w wersji 5.5.4 Zoom Client for Meetings dla systemu Windows. Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Wszystkie wersje Zoom Client for Meetings dla systemu Windows przed wersją 5.5.4.

Źródło: Zgłoszenie: Laurent Delosieres z ManoMano

ZSB-21015 11/09/2021 Wprowadzenie/wstrzyknięcie HTML do klienta Linux Zoom Niska CVE-2021-34419

Poziom istotności: Niska

Wynik CVSS: 3.7

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

Opis: W przypadku opcji Zoom Client for Meetings dla systemu Ubuntu Linux przed wersją 5.1.0 występuje usterka wprowadzenia/wstrzyknięcia HTML podczas wysyłania do użytkownika żądania dotyczącego zdalnego sterowania w procesie udostępniania ekranu podczas spotkania. Wskutek tego uczestnicy spotkania mogą stać się celami ataków z zakresu inżynierii społecznej.

Zoom naprawił ten problem w wersji 5.1.0 Zoom Client for Meetings przeznaczonej do urządzeń z systemem Ubuntu Linux. Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zoom Client for Meetings dla systemu Ubuntu Linux przed wersją 5.1.0

Źródło: Zgłoszenie: Danny de Weille i Rick Verdoes z hackdefense

ZSB-21014 11/09/2021 Preautoryzacja, zawieszenie wskaźnika zerowego w stacjonarnej konsoli sieciowej Średni CVE-2021-34418

Poziom istotności: Średni

Wynik CVSS: 4.0

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Opis: Usługa loginu konsoli sieciowej dla produktów wymienionych w sekcji „Produkty, których to dotyczy” tego biuletynu nie weryfikuje tego, że przesłano bajt ZEROWY podczas uwierzytelniania. Może to spowodować zawieszenie usługi loginu.

Produkty, których dotyczy problem:

  • Kontroler stacjonarnego dodatku spotkania Zoom przed wersją 4.6.239.20200613
  • Lokalny dodatek spotkania (Meeting Connector) Zoom MMR przed wersją 4.6.239.20200613
  • Lokalny dodatek nagrania (Recording Connector) Zoom przed wersją 3.8.42.20200905
  • Lokalny dodatek Virtual Room Zoom przed wersją 4.4.6344.20200612
  • Load Balancer lokalnego dodatku Virtual Room Zoom przed wersją 2.5.5492.20200616

Źródło: Zgłoszenie: Jeremy Brown

ZSB-21013 11/09/2021 Uwierzytelniona zdalna realizacja polecenia z uprawnieniami root poprzez konsolę sieciową w MMR Wysoki CVE-2021-34417

Poziom istotności: Wysoki

Wynik CVSS: 7.9

Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N

Opis: Strona sieciowego serwera proxy w portalu internetowym dla produktów wymienionych w sekcji „Produkty, których to dotyczy” niniejszego biuletynu nie weryfikuje danych wejściowych przesyłanych w postulatach ustawienia hasła serwera proxy sieci. Może to skutkować zdalnym wprowadzeniem polecenia przez administratora portalu internetowego.

Produkty, których dotyczy problem:

  • Kontroler stacjonarnego dodatku spotkania Zoom przed wersją 4.6.365.20210703
  • Lokalny dodatek spotkania (Meeting Connector) Zoom MMR przed wersją 4.6.365.20210703
  • Lokalny dodatek nagrania (Recording Connector) Zoom przed wersją 3.8.45.20210703
  • Lokalny dodatek Virtual Room Zoom przed wersją 4.4.6868.20210703
  • Load Balancer lokalnego dodatku Virtual Room Zoom przed wersją 2.5.5496.20210703

Źródło: Zgłoszenie: Jeremy Brown

ZSB-21012 09/30/2021 Zdalna realizacja kodu w stosunku do obrazów lokalnych poprzez portal internetowy Średni CVE-2021-34416

Poziom istotności: Średni

Wynik CVSS: 5.5

Ciąg wektora CVSS: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N

Opis: Portal internetowy ustawień administracyjnych adresu sieciowego dla lokalnego dodatku spotkania Zoom (Meeting Connector) przed wersją 4.6.360.20210325, lokalny dodatek spotkania (Meeting Connector) MMR Zoom przed wersją 4.6.360.20210325, lokalny dodatek nagrywania Zoom (Recording Connector) przed wersją 3.8.44.20210326, lokalny dodatek Virtual Room Zoom przed wersją 4.4.6752.20210326 oraz lokalny dodatek Virtual Room Zoom Load Balancer przed wersją 2.5.5495.20210326 nie weryfikują danych wejściowych przesyłanych w postulatach aktualizacji konfiguracji sieci, co może powodować zdalne wprowadzenie polecenia na lokalnym obrazie przez administratorów portalu internetowego.

Produkty, których dotyczy problem:

  • Lokalny dodatek spotkania (Meeting Connector) Zoom przed wersją 4.6.360.20210325
  • Lokalny dodatek spotkania (Meeting Connector) MMR Zoom przed wersją 4.6.360.20210325
  • Lokalny dodatek nagrania (Recording Connector) Zoom przed wersją 3.8.44.20210326
  • Lokalny dodatek Virtual Room Zoom przed wersją 4.4.6752.20210326
  • Load Balancer lokalnego dodatku Virtual Room Zoom przed wersją 2.5.5495.20210326

Źródło: Zgłoszenie: Egor Dimitrenko z Positive Technologies

ZSB-21011 09/30/2021 Zawieszenie ZC przy użyciu PDU, co powoduje wiele alokacji Wysoki CVE-2021-34415

Poziom istotności: Wysoki

Wynik CVSS: 7.5

Ciąg wektora CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Opis: Usługa Kontroler strefy w lokalnym kontrolerze dodatku spotkania Zoom przed wersją 4.6.358.20210205 nie weryfikuje pola cnt przesyłanego w przychodzących pakietach sieciowych, co powoduje wyczerpanie zasobów i zawieszenie systemu.

Produkty, których dotyczy problem:

  • Kontroler stacjonarnego dodatku spotkania Zoom przed wersją 4.6.358.20210205

Źródło: Zgłoszenie: Nikita Abramov z Positive Technologies

ZSB-21010 09/30/2021 Zdalna realizacja kodu w stosunku do serwera dodatku spotkania poprzez konfigurację proxy sieci portalu internetowego Średni CVE-2021-34414

Poziom istotności: Średni

Wynik CVSS: 7.2

Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Opis: Strona proxy sieci na portalu internetowym dla lokalnego kontrolera dodatku spotkania (Meeting Connector) Zoom przed wersją 4.6.348.20201217, lokalny dodatek spotkania (Meeting Connector) MMR Zoom przed wersją 4.6.348.20201217, lokalny dodatek nagrywania (Recording Connector) Zoom przed wersją 3.8.42.20200905, lokalny dodatek Virtual Room Zoom przed wersją 4.4.6620.20201110 oraz lokalny dodatek Virtual Room Zoom Load Balancer przed wersją 2.5.5495.20210326 nie weryfikują danych przesyłanych w żądaniach aktualizacji konfiguracji proxy sieci, co może spowodować zdalne wprowadzenie polecenia na obrazie lokalnym przez administratora portalu internetowego.

Produkty, których dotyczy problem:

  • Lokalny kontroler dodatku spotkania (Meeting Connector) Zoom przed wersją 4.6.348.20201217
  • Lokalny dodatek spotkania (Meeting Connector) MMR Zoom przed wersją 4.6.348.20201217
  • Lokalny dodatek nagrania (Recording Connector) Zoom przed wersją 3.8.42.20200905
  • Lokalny dodatek Virtual Room Zoom przed wersją 4.4.6620.20201110
  • Load Balancer lokalnego dodatku Virtual Room Zoom przed wersją 2.5.5495.20210326

Źródło: Zgłoszenie: Egor Dimitrenko z Positive Technologies

ZSB-21009 09/30/2021 Zoom MacOS, instalator wtyczki Zoom Outlook Plugin, eskalacja uprawnień lokalnych Niska CVE-2021-34413

Poziom istotności: Niska

Wynik CVSS: 2.8

Ciąg wektora CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N

Opis: Wszystkie wersje wtyczki Zoom dla programu Microsoft Outlook dla systemu MacOS przed 5.3.52553.0918 zawierają lukę Time-of-check Time-of-use (TOC/TOU) podczas procesu instalacji wtyczki. Potencjalnie pozwoli to standardowemu użytkownikowi zapisać własną złośliwą aplikację w katalogu wtyczki, pozwalając złośliwej aplikacji realizować działania w uprzywilejowanym kontekście.

Produkty, których dotyczy problem:

  • Wszystkie wersje wtyczki Zoom dla programu Microsoft Outlook dla systemu operacyjnego MacOS przed 5.3.52553.0918

Źródło: Zgłoszenie: Lockheed Martin Red Team

ZSB-21008 09/30/2021 Instalator Zoom for Windows, eskalacja uprawnień lokalnych Średni CVE-2021-34412

Poziom istotności: Średni

Wynik CVSS: 4.4

Ciąg wektora CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Opis: Podczas procesu instalacji dla wszystkich wersji Zoom Client for Meetings dla systemu Windows przed 5.4.0 można uruchomić program Internet Explorer. Jeżeli instalator został uruchomiony z większymi uprawnieniami, takimi jak SCCM, może to skutkować eskalacją lokalnych uprawnień.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zoom Client for Meetings dla systemu operacyjnego Windows przed wersją 5.4.0

Źródło: Zgłoszenie: Lockheed Martin Red Team

ZSB-21007 09/30/2021 Instalator Zoom Rooms, eskalacja lokalnych uprawnień Średni CVE-2021-34411

Poziom istotności: Średni

Wynik CVSS: 4.4

Ciąg wektora CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Opis: Podczas procesu instalacji Zoom Rooms do sali konferencyjnej (Zoom Rooms for Conference Room) dla systemu Windows przed wersją 5.3.0 można uruchomić przeglądarkę Internet Explorer ze zwiększonymi uprawnieniami. Jeżeli instalator został uruchomiony z większymi uprawnieniami, takimi jak SCCM, może to skutkować eskalacją lokalnych uprawnień.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zoom Rooms do sali konferencyjnej (Zoom Rooms for Conference Room) dla systemu Windows przed wersją 5.3.0
  • Zoom Rooms do konferencji (Zoom Rooms for Conference) przed wersją 5.1.0

Źródło: Zgłoszenie: Lockheed Martin Red Team

ZSB-21004 09/30/2021 Instalator Zoom MSI, rozszerzony zapis przy użyciu węzła Wysoki CVE-2021-34408

Poziom istotności: Wysoki

Wynik CVSS: 7.0

Ciąg wektora CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Opis: Katalog edytowalny przez użytkownika utworzony podczas instalacji opcji Zoom Client for Meetings dla systemu Windows w wersji przed 5.3.2 może być przekierowany do innej lokalizacji za pomocą węzła. Potencjalnie pozwoli to osobie atakującej nadpisać pliki, których ograniczony użytkownik nie może modyfikować.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zoom Client for Meetings dla systemu operacyjnego Windows przed wersją 5.3.2

Źródło: Zgłoszenie: Lockheed Martin Red Team

ZSB-21003 09/30/2021 Windows, instalator Zoom, obejście podpisu elektronicznego Wysoki CVE-2021-33907

Poziom istotności: Wysoki

Wynik CVSS: 7.0

Ciąg wektora CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H/MPR:N/MUI:R/MS:U/MC:H/MI:H/MA:H

Opis: Zoom Client for Meetings dla systemu Windows we wszystkich wersjach przed 5.3.0 nie może poprawnie zweryfikować informacji certyfikatu wykorzystywanych do podpisywania plików .msi podczas wykonywania aktualizacji klienta. Może to powodować realizację zdalną kodu w kontekście zwiększonych przywilejów.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Wszystkie wersje Zoom Client for Meetings dla systemu Windows przed wersją 5.3.0

Źródło: Zgłoszenie: Lockheed Martin Red Team

ZSB-21002 08/13/2021 Przepełnienie sterty bufora statycznego niezaznaczonego zapisu z wiadomości XMPP Wysoki CVE-2021-30480

Poziom istotności: Wysoki

Wynik CVSS: 8.1

Ciąg wektora CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H

Opis: Przepełnienie buforu oparte na stercie występuje we wszystkich wersjach stacjonarnych programu Zoom Client for Meetings przed wersją 5.6.3. Zostało to zgłoszone do Zoom w ramach Pwn2Own Vancouver 2021. Łańcuch ataków zademonstrowany podczas Pwn2Own został złagodzony przez zmianę po stronie serwera w infrastrukturze Zoom w dniu 9 kwietnia 2021.

W połączeniu z dwoma innymi problemami zgłoszonymi podczas Pwn2Own - nieprawidłowa weryfikacja adresu URL podczas wysyłania wiadomości XMPP, w celu uzyskania dostępu do adresu URL aplikacji Zoom Marketplace i nieprawidłowa weryfikacja adresu URL podczas wyświetlania obrazu GIPHY - złośliwy użytkownik może zdalnie wykonać kod na komputerze docelowym.
Aby atak się powiódł, cel ataku musi wcześniej zaakceptować żądanie połączenia od złośliwego użytkownika lub być na czacie z wieloma użytkownikami. Łańcuch ataków zademonstrowany podczas Pwn2Own może być bardziej widoczny dla celów, powodując występowanie wielu powiadomień u klienta.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Wszystkie wersje Zoom Client for Meetings przed 5.6.3

Źródło: Zgłoszone przez Daana Keupera i Thijsa Alkemade z Computest za pośrednictwem Zero Day Initiative

ZSB-21001 03/26/2021 Funkcja udostępniania ekranu w oknie aplikacji Średni CVE-2021-28133

Poziom istotności: Średni

Wynik CVSS: 5.7

Ciąg wektora CVSS: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

Opis: Luka wpłynęła na funkcję udostępniania ekranów klientów Zoom w systemie Windows i Linux podczas udostępniania poszczególnych okien aplikacji, w których zawartość ekranu aplikacji, nie będących jawnie udostępnianych przez użytkowników udostępniających ekran, może być przez chwilę widoczna dla innych uczestników spotkania, jeśli „ udostępniający” minimalizuje, maksymalizuje lub zamyka inne okno.

Zoom wprowadził kilka nowych zabezpieczeń dla klientów korzystających z Zoom w wersji 5.6 w systemie Windows, które zmniejszają możliwość wystąpienia problemu u tych użytkowników. Nadal pracujemy nad dodatkowymi środkami, aby rozwiązać ten problem na wszystkich platformach, których on dotyczy.

1 marca 2021 Zoom rozwiązał także problem dla użytkowników Ubuntu w kliencie Linux platformy Zoom, wersja 5.5.4. Użytkownicy mogą skorzystać z dostępnych aktualizacji lub pobrać najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami bezpieczeństwa ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Wszystkie wersje dla klientów Zoom korzystających z systemu Windows
  • Zoom dla klientów korzystających z Linuxa na Ubuntu przed wersją 5.5.4
  • Wszystkie wersje dla klientów korzystających z Linuxa w innych obsługiwanych dystrybucjach

Źródło: Wykonane przez Michaela Strameza i Matthiasa Deega.

ZSB-20002 08/14/2020 Pliki DLL dla systemu Windows w usłudze udostępniania Zoom Wysoki CVE-2020-9767

Poziom istotności: Wysoki

Wynik CVSS: 7.8

Ciąg wektora CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Opis: Luka związana z ładowaniem biblioteki łączonej dynamicznie („DLL”) w usłudze udostępniania Zoom może umożliwić lokalnemu użytkownikowi systemu Windows zwiększenie uprawnień użytkownika NT AUTHORITY/SYSTEM.

Luka wynika z niewystarczającego sprawdzania podpisów DLL podczas ładowania podpisanego pliku. Atakujący może wykorzystać tę lukę, wprowadzając złośliwą DLL do podpisanego pliku Zoom i używając go do uruchamiania procesów z podwyższonymi uprawnieniami.

Ten problem został rozwiązany w wersji 5.0.4. Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Instalator Zoom dla systemu Windows (ZoomInstallerFull.msi) w wersji wcześniejszej niż 5.0.4

Źródło: Connor Scott z Context Information Security

ZSB-20001 05/04/2020 Instalator Zoom dla IT w systemie Windows Wysoki CVE-2020-11443

Poziom istotności: Wysoki

Wynik CVSS: Base: 8.4

Ciąg wektora CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Opis: Luka w sposobie, w jaki instalator Zoom dla systemu Windows obsługuje połączenia podczas usuwania plików, może umożliwić lokalnemu użytkownikowi systemu Windows usunięcie plików, których w przeciwnym razie nie mógłby usunąć.

Luka wynika z niewystarczającego sprawdzania połączeń w katalogu, w którym użytkownicy mogą zapisywać pliki, a instalator je usuwa. Złośliwy użytkownik lokalny może wykorzystać tę lukę, tworząc w zagrożonym katalogu połączenie, które wskazuje na chronione pliki systemowe lub inne pliki, do których użytkownik nie ma uprawnień. Po uruchomieniu instalatora Zoom dla systemu Windows z podwyższonymi uprawnieniami, tak jak w przypadku uruchamiania przez oprogramowanie do wdrażania zarządzanego, pliki te zostaną usunięte z systemu.

Problem został rozwiązany w wersji 4.6.10. Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Instalator Zoom dla systemu Windows (ZoomInstallerFull.msi) w wersji wcześniejszej niż 4.6.10

Źródło: Podziękowania dla Lockheed Martin Red Team.

ZSB-19003 07/12/2019 ZoomOpener daemon Wysoki CVE-2019-13567

Poziom istotności: Wysoki

Wynik CVSS: Base: 7.5

Ciąg wektora CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Opis: Luka w Zoom dla klientów MacOS może umożliwić atakującemu pobranie złośliwego oprogramowania na urządzenie użytkownika.

Luka wynika z nieprawidłowej walidacji danych wejściowych i pobranego oprogramowania w aplikacji pomocniczej ZoomOpener. Osoba atakująca może wykorzystać tę lukę, aby skłonić urządzenie użytkownika do pobrania plików w imieniu atakującego. Skuteczny program wykorzystujący luki w systemie jest możliwy tylko wtedy, gdy ofiara wcześniej odinstalowała Zoom Client.

Problem został rozwiązany w wersji 4.4.52595.0425 Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zoom dla klientów MacOS przed wersją 4.4.52595.0425 i po wersji 4.1.27507.0627

Źródło: Nieznany.

ZSB-19002 07/09/2019 Domyślne ustawienie wideo Niska CVE-2019-13450

Poziom istotności: Niska

Wynik CVSS: Base: 3.1

Ciąg wektora CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

Opis: Luka Zoom i RingCentral u klientów MacOS może umożliwić zdalnemu, nieuwierzytelnionemu napastnikowi zmuszenie użytkownika do przyłączenia się do rozmowy wideo z włączoną kamerą wideo.

Luka w zabezpieczeniach wynika z niewystarczających kontroli autoryzacji, przy sprawdzaniu, które systemy mogą komunikować się z lokalnym serwerem Zoom Web działającym na porcie 19421. Osoba atakująca może wykorzystać tę lukę, tworząc złośliwą stronę internetową, która powoduje, że klient Zoom automatycznie dołącza do spotkania zorganizowanego przez atakującego.

Zoom wdrożył nowe okno dialogowe podglądu wideo, które jest prezentowane użytkownikowi przed dołączeniem do spotkania w wersji 4.4.5 opublikowanej 14 lipca 2019 r. Okno dialogowe umożliwia użytkownikowi dołączenie do spotkania z włączonym wideo lub bez i wymaga ustawienia zachowania domyślnego wideo. Zoom zachęca klientów do zainstalowania najnowszej wersji Zoom dla klientów dostępnej pod adresem https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zoom dla klientów MacOS przed wersją 4.4.5
  • RingCentral dla klientów MacOS przed wersją 4.4.5

Źródło: Wykonany przez Jonathan Leitschuh.

ZSB-19001 07/09/2019 Atak typu „odmowa usługi” – MacOS Niska CVE-2019-13449

Poziom istotności: Niska

Wynik CVSS: Base: 3.1

Ciąg wektora CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Opis: Luka w Zoom dla klientów MacOS może umożliwić zdalnemu, nieuwierzytelnionemu napastnikowi wywołanie stanu odmowy usługi w systemie użytkownika.

Luka w zabezpieczeniach wynika z niewystarczających kontroli autoryzacji, przy sprawdzaniu, które systemy mogą komunikować się z lokalnym serwerem Zoom Web działającym na porcie 19421. Osoba atakująca może wykorzystać tę lukę, tworząc złośliwą stronę internetową, która powoduje, że klient Zoom wielokrotnie próbuje dołączyć do spotkania z nieprawidłowym identyfikatorem. Pętla nieskończona powoduje, że Zoom przestaje działać i może wpływać na wydajność systemu, na którym działa.

Aby rozwiązać ten problem, Zoom wydał poprawkę do wersji 4.4.2 dla klientów MacOS 28 kwietnia 2019 r. Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których dotyczy problem:

  • Zoom dla klientów MacOS przed wersją 4.4.5
  • RingCentral dla klientów MacOS przed wersją 4.4.5

Źródło: Wykonany przez Jonathan Leitschuh.

No results found

Podaj własny adres e-mail, aby otrzymać powiadomienie o przyszłych wydaniach Biuletynu zabezpieczeń Zoom. (Uwaga: aliasy e-mail nie otrzymają tego rodzaju powiadomień).