Biuletyny zabezpieczeń
Biuletyny zabezpieczeń
Zoom nie zapewnia wskazówek dotyczących wpływu luki w zabezpieczeniach dla poszczególnych klientów, ponieważ w tym celu wydaje biuletyn zabezpieczeń, ani nie podaje dodatkowych szczegółów na temat luki w zabezpieczeniach. Zalecamy użytkownikom aktualizację do najnowszej wersji oprogramowania Zoom w celu uzyskania najnowszych poprawek i ulepszeń bezpieczeństwa.
ZSB | Data | Tytuł | Poziom istotności | CVE (jeśli dotyczy) | |
---|---|---|---|---|---|
|
ZSB-24008 | 02/13/2024 | Klient stacjonarny Zoom dla systemu Windows, klient Zoom VDI dla systemu Windows i zestaw narzędzi SDK Zoom Meeting dla systemu Windows – nieprawidłowa walidacja danych wejściowych | Krytyczny | CVE-2024-24691 |
Poziom istotności: Krytyczny Wynik CVSS: 9.6 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Opis: Nieprawidłowa walidacja danych wejściowych klienta stacjonarnego Zoom dla systemu Windows, klienta Zoom VDI dla systemu Windows i zestawu narzędzi SDK Zoom Meeting dla systemu Windows może pozwolić nieuwierzytelnionemu użytkownikowi na eskalację uprawnień poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez zespół Zoom ds. zabezpieczeń. |
|||||
|
ZSB-24007 | 02/13/2024 | Klient Zoom – niewłaściwa walidacja danych wejściowych | Średni | CVE-2024-24690 |
Poziom istotności: Średni Wynik CVSS: 5.4 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
Opis: Niewłaściwa walidacja danych wejściowych w niektórych klientach Zoom może pozwolić uwierzytelnionemu użytkownikowi na włączenie odmowy usługi poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez zespół Zoom ds. zabezpieczeń. |
|||||
|
ZSB-24006 | 02/13/2024 | Klienci Zoom – błąd logiki biznesowej | Średni | CVE-2024-24699 |
Poziom istotności: Średni Wynik CVSS: 6.5 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Opis: Błąd logiki biznesowej w czacie podczas spotkania w przypadku niektórych klientów Zoom może pozwolić uwierzytelnionemu użytkownikowi na ujawnienie informacji poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez zespół Zoom ds. zabezpieczeń. |
|||||
|
ZSB-24005 | 02/13/2024 | Klienci Zoom – nieprawidłowe uwierzytelnianie | Średni | CVE-2024-24698 |
Poziom istotności: Średni Wynik CVSS: 4.9 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
Opis: Nieprawidłowe uwierzytelnianie w niektórych klientach Zoom może pozwolić uprawnionemu użytkownikowi na ujawnienie informacji poprzez dostęp lokalny. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez zespół Zoom ds. zabezpieczeń. |
|||||
|
ZSB-24004 | 02/13/2024 | Klienci Zoom – niezaufana ścieżka wyszukiwania | Wysoki | CVE-2024-24697 |
Poziom istotności: Wysoki Wynik CVSS: 7.2 Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
Opis: Niezaufana ścieżka wyszukiwania w niektórych 32-bitowych klientach Zoom dla systemu Windows może pozwolić uwierzytelnionemu użytkownikowi na eskalację uprawnień poprzez dostęp lokalny. Produkty, których dotyczy problem:
Źródło: Zgłoszono przez: sim0nsecurity. |
|||||
|
ZSB-24003 | 02/13/2024 | Klient stacjonarny Zoom dla systemu Windows, klient Zoom VDI dla systemu Windows i zestaw narzędzi SDK Zoom Meeting dla systemu Windows – nieprawidłowa walidacja danych wejściowych | Średni | CVE-2024-24696 |
Poziom istotności: Średni Wynik CVSS: 6.8 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N
Opis: Nieprawidłowa walidacja danych wejściowych w czacie podczas spotkania dla klienta stacjonarnego Zoom dla systemu Windows, klienta Zoom VDI dla systemu Windows i zestawu narzędzi SDK Zoom Meeting dla systemu Windows może pozwolić uwierzytelnionemu użytkownikowi na ujawnienie informacji poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszono przez: shmoul. |
|||||
|
ZSB-24002 | 02/13/2024 | Klient stacjonarny Zoom dla systemu Windows, klient Zoom VDI dla systemu Windows i zestaw narzędzi SDK Zoom Meeting dla systemu Windows – nieprawidłowa walidacja danych wejściowych | Średni | CVE-2024-24695 |
Poziom istotności: Średni Wynik CVSS: 6.8 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N
Opis: Nieprawidłowa walidacja danych wejściowych dla klienta stacjonarnego Zoom dla systemu Windows, klienta Zoom VDI dla systemu Windows i zestawu narzędzi SDK Zoom Meeting dla systemu Windows może pozwolić uwierzytelnionemu użytkownikowi na ujawnienie informacji poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszono przez: shmoul. |
|||||
|
ZSB-24001 | 01/09/2024 | Klient stacjonarny Zoom dla systemu Windows, klient Zoom VDI dla systemu Windows i zestaw narzędzi SDK Zoom dla systemu Windows – nieprawidłowa kontrola dostępu | Krytyczny | CVE-2023-49647 |
Poziom istotności: Krytyczny Wynik CVSS: 8.8 Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Opis: Nieprawidłowa kontrola dostępu do klienta stacjonarnego Zoom dla systemu Windows, klienta Zoom VDI dla systemu Windows i zestawu narzędzi SDK Zoom Meeting dla systemu Windows przed wersją 5.16.10 może pozwolić uwierzytelnionemu użytkownikowi na eskalację uprawnień poprzez dostęp lokalny. Produkty, których dotyczy problem:
Źródło: Zgłoszono przez: sim0nsecurity. |
|||||
|
ZSB-23062 | 12/12/2023 | Klienci Zoom – nieprawidłowe uwierzytelnianie | Krytyczny | CVE-2023-49646 |
Poziom istotności: Krytyczny Wynik CVSS: 5.4 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
Opis: Niewłaściwa autoryzacja w niektórych klientach Zoom przed wersją 5.16.5 może pozwolić uwierzytelnionemu użytkownikowi na włączenie odmowy usługi poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń |
|||||
|
ZSB-23059 | 12/12/2023 | Klient stacjonarny Zoom dla systemu Windows, klient Zoom VDI dla systemu Windows i zestaw narzędzi SDK Zoom dla systemu Windows – podatność typu „path traversal” | Krytyczny | CVE-2023-43586 |
Poziom istotności: Krytyczny Wynik CVSS: 7.3 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N
Opis: Podatność typu „path traversal” klienta stacjonarnego Zoom dla systemu Windows, klienta Zoom VDI dla systemu Windows i zestawu narzędzi SDK Zoom dla systemu Windows może pozwolić uwierzytelnionemu użytkownikowi na eskalację uprawnień poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszono przez: shmoul. |
|||||
|
ZSB-23058 | 12/12/2023 | Aplikacja mobilna Zoom dla systemu iOS i zestawy narzędzi SDK dla systemu iOS – nieprawidłowa kontrola dostępu | Krytyczny | CVE-2023-43585 |
Poziom istotności: Krytyczny Wynik CVSS: 7.1 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L
Opis: Nieprawidłowa kontrola dostępu aplikacji mobilnej Zoom dla systemu iOS i zestawów narzędzi SDK Zoom dla systemu iOS przed wersją 5.16.5 może pozwolić uwierzytelnionemu użytkownikowi na ujawnienie informacji poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń |
|||||
|
ZSB-23056 | 12/12/2023 | Aplikacja mobilna Zoom na system Android, aplikacja mobilna Zoom na system iOS i zestawy narzędzi SDK Zoom – problemy kryptograficzne | Krytyczny | CVE-2023-43583 |
Poziom istotności: Krytyczny Wynik CVSS: 4.9 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
Opis: Problemy kryptograficzne aplikacji mobilnej Zoom na system Android, aplikacji mobilnej Zoom na system iOS i zestawów narzędzi SDK Zoom przed wersją 5.16.0 mogą pozwolić uprawnionemu użytkownikowi na ujawnienie informacji poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń |
|||||
|
ZSB-23055 | 11/14/2023 | Klienci Zoom – nieprawidłowe uwierzytelnianie | Krytyczny | CVE-2023-43582 |
Poziom istotności: Krytyczny Wynik CVSS: 5.5 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L
Opis: Nieprawidłowe uwierzytelnianie w niektórych klientach Zoom może pozwolić autoryzowanemu użytkownikowi na eskalację uprawnień poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń |
|||||
|
ZSB-23054 | 11/14/2023 | Zoom Rooms dla systemu macOS – niewłaściwe zarządzanie uprawnieniami | Krytyczny | CVE-2023-43591 |
Poziom istotności: Krytyczny Wynik CVSS: 7.8 Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Opis: Niewłaściwe zarządzanie uprawnieniami w Zoom Rooms dla systemu macOS przed wersją 5.16.0 może umożliwić uwierzytelnionemu użytkownikowi eskalację uprawnień poprzez dostęp lokalny. Produkty, których dotyczy problem:
Źródło: Zgłoszono przez: Eugene Lim (spaceraccoon). |
|||||
|
ZSB-23053 | 11/14/2023 | Zoom Rooms dla systemu macOS – link poniżej | Krytyczny | CVE-2023-43590 |
Poziom istotności: Krytyczny Wynik CVSS: 7.8 Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Opis: Śledzenie linku w Zoom Rooms dla systemu macOS przed wersją 5.16.0 może umożliwić uwierzytelnionemu użytkownikowi eskalację uprawnień poprzez dostęp lokalny. Produkty, których dotyczy problem:
Źródło: Zgłoszono przez: Eugene Lim (spaceraccoon). |
|||||
|
ZSB-23052 | 11/14/2023 | Klienci Zoom – niewystarczające zarządzanie przepływem kontroli | Krytyczny | CVE-2023-43588 |
Poziom istotności: Krytyczny Wynik CVSS: 3.5 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N
Opis: Niewystarczające zarządzanie przepływem kontroli w niektórych klientach Zoom może pozwolić uwierzytelnionemu użytkownikowi na ujawnienie informacji poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń |
|||||
|
ZSB-23051 | 11/14/2023 | Klienci Zoom – problemy kryptograficzne | Krytyczny | CVE-2023-39199 |
Poziom istotności: Krytyczny Wynik CVSS: 4.9 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
Opis: Problemy kryptograficzne z czatem podczas spotkania w niektórych klientach Zoom mogą pozwolić użytkownikowi z uprawnieniami na ujawnienie informacji poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń |
|||||
|
ZSB-23050 | 11/14/2023 | Klienty Zoom – przepełnienie bufora | Krytyczny | CVE-2023-39206 |
Poziom istotności: Krytyczny Wynik CVSS: 3.7 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L
Opis: Przepełnienie bufora w niektórych klientach Zoom może pozwolić nieuwierzytelnionemu użytkownikowi na włączenie odmowy usługi poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń |
|||||
|
ZSB-23049 | 11/14/2023 | Klienci Zoom – nieprawidłowe sprawdzanie warunków | Krytyczny | CVE-2023-39205 |
Poziom istotności: Krytyczny Wynik CVSS: 4.3 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Opis: Nieprawidłowe sprawdzenie warunków w Zoom Team Chat dla klientów Zoom może pozwolić uwierzytelnionemu użytkownikowi na włączenie odmowy usługi poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń |
|||||
|
ZSB-23048 | 11/14/2023 | Klienty Zoom – przepełnienie bufora | Krytyczny | CVE-2023-39204 |
Poziom istotności: Krytyczny Wynik CVSS: 4.3 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L
Opis: Przepełnienie bufora w niektórych klientach Zoom może pozwolić nieuwierzytelnionemu użytkownikowi na włączenie odmowy usługi poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń |
|||||
|
ZSB-23047 | 11/14/2023 | Klient stacjonarny Zoom dla systemu Windows i klient Zoom VDI – niekontrolowane zużycie zasobów | Krytyczny | CVE-2023-39203 |
Poziom istotności: Krytyczny Wynik CVSS: 4.3 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L
Opis: Niekontrolowane zużycie zasobów w Zoom Team Chat dla klienta stacjonarnego Zoom dla systemu Windows i klienta Zoom VDI może pozwolić nieuwierzytelnionemu użytkownikowi na ujawnienie informacji poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszono przez: shmoul. |
|||||
|
ZSB-23046 | 11/14/2023 | Klient Zoom Rooms dla systemu Windows i klient Zoom VDI – niezaufana ścieżka wyszukiwania | Krytyczny | CVE-2023-39202 |
Poziom istotności: Krytyczny Wynik CVSS: 3.1 Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:L
Opis: Niezaufana ścieżka wyszukiwania w kliencie Zoom Rooms dla systemu Windows i kliencie Zoom VDI może pozwolić uwierzytelnionemu użytkownikowi na włączenie odmowy usługi poprzez dostęp lokalny. Produkty, których dotyczy problem:
Źródło: Zgłoszono przez: sim0nsecurity. |
|||||
|
ZSB-23045 | 09/12/2023 | CleanZoom – niezaufana ścieżka wyszukiwania | Krytyczny | CVE-2023-39201 |
Poziom istotności: Krytyczny Wynik CVSS: 7.2 Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
Opis: Niezaufana ścieżka wyszukiwania w CleanZoom przed datą pliku 24.07.2023 może pozwolić uprzywilejowanemu użytkownikowi na eskalację uprawnień poprzez dostęp lokalny. Produkty, których dotyczy problem:
Źródło: Zgłoszono przez: sim0nsecurity. |
|||||
|
ZSB-23043 | 09/12/2023 | Klient stacjonarny Zoom dla systemu Linux – niewłaściwa walidacja danych wejściowych | Krytyczny | CVE-2023-39208 |
Poziom istotności: Krytyczny Wynik CVSS: 6.5 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
Opis: Niewłaściwa walidacja danych wejściowych w kliencie stacjonarnym Zoom dla systemu Linux przed wersją 5.15.10 może umożliwić nieuwierzytelnionemu użytkownikowi eskalację uprawnień poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Antoine Roly (aroly). |
|||||
|
ZSB-23040 | 09/12/2023 | Klienci Zoom – nieprawidłowe uwierzytelnianie | Krytyczny | CVE-2023-39215 |
Poziom istotności: Krytyczny Wynik CVSS: 7.1 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:H
Opis: Nieprawidłowe uwierzytelnianie w klientach Zoom może pozwolić uwierzytelnionemu użytkownikowi na włączenie odmowy usługi poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń |
|||||
|
ZSB-23041 | 08/08/2023 | Klient stacjonarny Zoom dla systemu Windows – niewłaściwa walidacja danych wejściowych | Krytyczny | CVE-2023-39209 |
Poziom istotności: Krytyczny Wynik CVSS: 5.9 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L
Opis: Niewłaściwa walidacja danych wejściowych w kliencie stacjonarnym Zoom dla systemu Windows przed wersją 5.15.5 może pozwolić uwierzytelnionemu użytkownikowi ujawnić informacje poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń |
|||||
|
ZSB-23039 | 08/08/2023 | Klient Zoom – narażenie na ujawnienie poufnych informacji | Krytyczny | CVE-2023-39214 |
Poziom istotności: Krytyczny Wynik CVSS: 7.6 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H
Opis: Ujawnienie poufnych informacji klienta Zoom przed wersją 5.15.5 może umożliwić uwierzytelnionemu użytkownikowi odmowę usługi poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń |
|||||
|
ZSB-23038 | 08/08/2023 | Klient stacjonarny Zoom dla systemu Windows i klient VDI Zoom – niewłaściwa neutralizacja elementów specjalnych | Krytyczny | CVE-2023-39213 |
Poziom istotności: Krytyczny Wynik CVSS: 9.6 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Opis: Niewłaściwa neutralizacja elementów specjalnych w kliencie stacjonarnym Zoom dla systemu Windows i kliencie VDI Zoom może umożliwić nieuwierzytelnionemu użytkownikowi eskalację uprawnień poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń |
|||||
|
ZSB-23037 | 08/08/2023 | Zoom Rooms dla systemu Windows – niezaufana ścieżka wyszukiwania | Krytyczny | CVE-2023-39212 |
Poziom istotności: Krytyczny Wynik CVSS: 7.9 Ciąg wektora CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H
Opis: Niezaufana ścieżka wyszukiwania w Zoom Rooms dla systemu Windows przed wersją 5.15.5 może pozwolić uwierzytelnionemu użytkownikowi na włączenie odmowy usługi poprzez dostęp lokalny. Produkty, których dotyczy problem:
Źródło: Zgłoszono przez: sim0nsecurity. |
|||||
|
ZSB-23036 | 08/08/2023 | Klient stacjonarny Zoom dla Windows i Zoom Rooms dla systemu Windows – niewłaściwe zarządzanie uprawnieniami | Krytyczny | CVE-2023-39211 |
Poziom istotności: Krytyczny Wynik CVSS: 8.8 Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Opis: Niewłaściwe zarządzanie uprawnieniami w kliencie stacjonarnym Zoom dla systemu Windows i Zoom Rooms dla Windows przed wersją 5.15.5 może umożliwić uwierzytelnionemu użytkownikowi ujawnienie informacji poprzez dostęp lokalny. Produkty, których dotyczy problem:
Źródło: Zgłoszono przez: sim0nsecurity. |
|||||
|
ZSB-23035 | 08/08/2023 | Zestaw narzędzi SDK klienta Zoom dla systemu Windows – przechowywanie poufnych informacji w postaci czystego tekstu | Krytyczny | CVE-2023-39210 |
Poziom istotności: Krytyczny Wynik CVSS: 5.5 Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Opis: Przechowywanie poufnych informacji w postaci czystego tekstu w zestawie narzędzi SDK klienta Zoom dla systemu Windows przed wersją 5.15.0 może pozwolić uwierzytelnionemu użytkownikowi na ujawnienie informacji poprzez dostęp lokalny. Produkty, których dotyczy problem:
Źródło: Zgłoszono przez: sim0nsecurity. |
|||||
|
ZSB-23034 | 08/08/2023 | Klienci Zoom – egzekwowanie po stronie klienta zabezpieczeń po stronie serwera | Krytyczny | CVE-2023-39218 |
Poziom istotności: Krytyczny Wynik CVSS: 6.5 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
Opis: Egzekwowanie po stronie klienta zabezpieczeń po stronie serwera w klientach Zoom przed wersją 5.14.10 może pozwolić uprzywilejowanemu użytkownikowi na ujawnienie informacji poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń |
|||||
|
ZSB-23033 | 08/08/2023 | Klient Zoom – niewłaściwa walidacja danych wejściowych | Krytyczny | CVE-2023-39217 |
Poziom istotności: Krytyczny Wynik CVSS: 5.3 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Opis: Niewłaściwa walidacja danych wejściowych w kliencie Zoom przed wersją 5.14.10 może pozwolić nieuwierzytelnionemu użytkownikowi na włączenie odmowy usługi poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń |
|||||
|
ZSB-23032 | 08/08/2023 | Klient stacjonarny Zoom dla systemu Windows – niewłaściwa walidacja danych wejściowych | Krytyczny | CVE-2023-39216 |
Poziom istotności: Krytyczny Wynik CVSS: 9.6 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Opis: Niewłaściwa walidacja danych wejściowych w kliencie stacjonarnym Zoom dla systemu Windows przed wersją 5.14.7 może umożliwić nieuwierzytelnionemu użytkownikowi eskalację uprawnień poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń |
|||||
|
ZSB-23031 | 08/08/2023 | Klienci Zoom – egzekwowanie po stronie klienta zabezpieczeń po stronie serwera | Krytyczny | CVE-2023-36535 |
Poziom istotności: Krytyczny Wynik CVSS: 7.1 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L
Opis: Egzekwowanie po stronie klienta zabezpieczeń po stronie serwera w klientach Zoom przed wersją 5.14.10 może pozwolić uwierzytelnionemu użytkownikowi na ujawnienie informacji poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń |
|||||
|
ZSB-23030 | 08/08/2023 | Klient stacjonarny Zoom dla systemu Windows – przeszukiwanie ścieżek | Krytyczny | CVE-2023-36534 |
Poziom istotności: Krytyczny Wynik CVSS: 9.3 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H
Opis: Przeszukiwanie ścieżek w kliencie stacjonarnym Zoom dla systemu Windows przed wersją 5.14.7 może umożliwić nieuwierzytelnionemu użytkownikowi eskalację uprawnień poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń |
|||||
|
ZSB-23029 | 08/08/2023 | Zestaw narzędzi SDK Zoom – niekontrolowane zużycie zasobów | Krytyczny | CVE-2023-36533 |
Poziom istotności: Krytyczny Wynik CVSS: 7.1 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H
Opis: Niekontrolowane zużycie zasobów w zestawie narzędzi SDK Zoom przed wersją 5.14.7 może pozwolić nieuwierzytelnionemu użytkownikowi na włączenie odmowy usługi poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń |
|||||
|
ZSB-23028 | 08/08/2023 | Klienty Zoom – przepełnienie bufora | Krytyczny | CVE-2023-36532 |
Poziom istotności: Krytyczny Wynik CVSS: 5.9 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Opis: Przepełnienie bufora w klientach Zoom przed wersją 5.14.5 może pozwolić nieuwierzytelnionemu użytkownikowi na włączenie odmowy usługi poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń |
|||||
|
ZSB-23027 | 08/08/2023 | Klient stacjonarny Zoom dla systemu Windows – niewystarczająca weryfikacja autentyczności danych | Krytyczny | CVE-2023-36541 |
Poziom istotności: Krytyczny Wynik CVSS: 8 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Opis: Niewystarczająca weryfikacja autentyczności danych w kliencie stacjonarnym Zoom dla systemu Windows przed wersją 5.14.5 może pozwolić uwierzytelnionemu użytkownikowi na umożliwienie eskalacji uprawnień poprzez dostęp sieciowy. Produkty, których dotyczy problem:
Źródło: Zgłoszono przez: sim0nsecurity. |
|||||
|
ZSB-23026 | 08/08/2023 | Klient stacjonarny Zoom dla systemu Windows – niezaufana ścieżka wyszukiwania | Krytyczny | CVE-2023-36540 |
Poziom istotności: Krytyczny Wynik CVSS: 7.3 Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L
Opis: Niezaufana ścieżka wyszukiwania w kliencie stacjonarnym Zoom dla systemu Windows przed wersją 5.14.5 może umożliwić uwierzytelnionemu użytkownikowi eskalację uprawnień poprzez dostęp lokalny. Produkty, których dotyczy problem:
Źródło: Zgłoszono przez: sim0nsecurity. |
|||||
|
ZSB-23024 | 07/11/2023 | Niewłaściwa kontrola dostępu | Krytyczny | CVE-2023-36538 |
Poziom istotności: Krytyczny Wynik CVSS: 8.4 Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H
Opis: Niewłaściwa kontrola dostępu w Zoom Rooms dla systemu Windows przed wersją 5.15.0 może umożliwić uwierzytelnionemu użytkownikowi eskalację uprawnień poprzez dostęp lokalny. Produkty, których dotyczy problem:
Źródło: Zgłoszono przez: sim0nsecurity. |
|||||
|
ZSB-23023 | 07/11/2023 | Niewłaściwe zarządzanie uprawnieniami | Krytyczny | CVE-2023-36537 |
Poziom istotności: Krytyczny Wynik CVSS: 7.3 Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L
Opis: Niewłaściwe zarządzanie uprawnieniami w Zoom Rooms dla systemu Windows przed wersją 5.14.5 może umożliwić uwierzytelnionemu użytkownikowi eskalację uprawnień poprzez dostęp lokalny. Produkty, których dotyczy problem:
Źródło: Zgłoszono przez: sim0nsecurity |
|||||
|
ZSB-22033 | 01/06/2023 | Przeszukiwanie ścieżek w klientach Zoom for Android | Krytyczny | CVE-2022-36928 |
Poziom istotności: Krytyczny Wynik CVSS: 6.1 Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
Opis: Klienci Zoom for Android w wersji niższej niż 5.13.0 zawierają lukę w zabezpieczeniach w postaci przeszukiwania ścieżek. Aplikacja firmy zewnętrznej może wykorzystać tę lukę w zabezpieczeniach, aby odczytać folder z danymi aplikacyjnymi Zoom oraz dokonywać w nim zmian. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Dimitrios Valsamaras z Microsoft |
|||||
|
ZSB-22032 | 01/06/2023 | Lokalna eskalacja uprawnień w kliencie Zoom Rooms for macOS | Krytyczny |
CVE-2022-36926 CVE-2022-36927 |
Poziom istotności: Krytyczny Wynik CVSS: 8.8 Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Opis: Klienci Zoom Rooms for macOS przed wersją 5.11.3 zawierają lukę w zabezpieczeniach w postaci lokalnej eskalacji uprawnień. Lokalny, nisko uprzywilejowany użytkownik może wykorzystać tę lukę do podniesienia swoich uprawnień do rangi roota. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Kirin (Pwnrin) |
|||||
|
ZSB-22031 | 01/06/2023 | Niebezpieczne generowanie klucza dla klientów Zoom Rooms for macOS | Krytyczny | CVE-2022-36925 |
Poziom istotności: Krytyczny Wynik CVSS: 4.4 Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
Opis: Klienci Zoom Rooms for macOS przed wersją 5.11.4 zawierają lukę w zabezpieczeniach w postaci niebezpiecznego mechanizmu generowania klucza. Klucz szyfrowania użytego dla IPC pomiędzy usługą demona Zoom Rooms a klientem Zoom Rooms był generowany za pomocą parametrów, które można było uzyskać poprzez lokalną aplikację o niewielkich uprawnieniach. Takiego klucza można było użyć do interakcji z usługą demona, który wykonywał funkcje zabezpieczone uprawnieniami i tym samym wywołać odmowę wykonania usługi. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Kirin (Pwnrin) |
|||||
|
ZSB-22030 | 11/15/2022 | Lokalna eskalacja uprawnień w instalatorze Zoom Rooms do systemu Windows | Krytyczny | CVE-2022-36924 |
Poziom istotności: Krytyczny Wynik CVSS: 8.8 Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Opis: Instalator Zoom Rooms do systemu Windows przed wersją 5.12.6 zawiera lukę w zabezpieczeniach umożliwiającą eskalację lokalnych uprawnień. Lokalny, nisko uprzywilejowany użytkownik może wykorzystać tę lukę podczas procesu instalacji do podniesienia (eskalacji) swoich uprawnień do poziomu użytkownika SYSTEM. Produkty, których dotyczy problem:
Źródło: Zgłoszono przez: sim0nsecurity |
|||||
|
ZSB-22029 | 11/15/2022 | Lokalna eskalacja uprawnień w instalatorze Zoom Client do systemu macOS | Krytyczny | CVE-2022-28768 |
Poziom istotności: Krytyczny Wynik CVSS: 8.8 Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Opis: Instalator Zoom Client for Meetings do systemu macOS (standardowy i dla administratorów IT) przed wersją 5.12.6 zawiera lukę w zabezpieczeniach umożliwiającą eskalację lokalnych uprawnień. Lokalny, nisko uprzywilejowany użytkownik może wykorzystać tę lukę podczas procesu instalacji do podniesienia swoich uprawnień do rangi roota. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Koh M. Nakagawa (tsunekoh) |
|||||
|
ZSB-22027 | 11/15/2022 | Wstrzyknięcie DLL w Zoom Windows Clients | Krytyczny | CVE-2022-28766 |
Poziom istotności: Krytyczny Wynik CVSS: 8.1 Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L
Opis: 32-bitowe wersje systemu Windows w przypadku Zoom Client for Meetings przed wersją 5.12.6 i Zoom Rooms do sali konferencyjnej (Zoom Rooms for Conference Room) przed wersją 5.12.6 są podatne na atak z wykorzystaniem wstrzyknięcia DLL. Lokalny, nisko uprzywilejowany użytkownik może wykorzystać tę lukę do uruchomienia arbitralnego kodu w kontekście klienta Zoom. Produkty, których dotyczy problem:
Źródło: Zgłoszono przez: sim0nsecurity |
|||||
|
ZSB-22025 | 11/10/2022 | Wyjawienie lokalnych informacji w Zoom Clients (klienci Zoom) | Krytyczny | CVE-2022-28764 |
Poziom istotności: Krytyczny Wynik CVSS: 3.3 Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Opis: Zoom Client for Meetings (do systemu Android, iOS, Linux, macOS i Windows) przed wersją 5.12.6 jest podatny na lukę w zakresie wyjawiania lokalnych informacji. Produkty, których dotyczy problem:
Źródło: Zgłoszenie – Christian Zäske z firmy SySS GmbH |
|||||
|
ZSB-22024 | 10/24/2022 | Nieprawidłowe przetwarzanie adresów URL w klientach Zoom | Krytyczny | CVE-2022-28763 |
Poziom istotności: Krytyczny Wynik CVSS: 8.8 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Opis: Zoom Client for Meetings (do systemów Android, iOS, Linux, macOS i Windows) przed wersją 5.12.2 jest podatny na lukę w przetwarzaniu adresów URL. W przypadku otwarcia złośliwego adresu URL do spotkania Zoom złośliwy link może skierować użytkownika do połączenia z arbitralnym adresem sieciowym, co prowadzi do dodatkowych ataków, w tym możliwości przejęcia sesji. Produkty, których dotyczy problem:
Źródło: Zgłoszono przez: zespół bezpieczeństwa Zoom |
|||||
|
ZSB-22023 | 10/11/2022 | Błędna konfiguracja portu debugowania w Zoom Apps w Zoom Client for Meetings dla systemu macOS | Krytyczny | CVE-2022-28762 |
Poziom istotności: Krytyczny Wynik CVSS: 7.3 Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
Opis: Zoom Client for Meetings dla systemu macOS (Standard i dla administratorów IT) od wersji 5.10.6 i wersje starsze niż 5.12.0 zawiera błędną konfigurację portu debugowania. Gdy kontekst renderowania w trybie kamery jest włączony w ramach interfejsu Zoom App Layers API przez uruchomienie niektórych aplikacji Zoom Apps, lokalny port debugowania jest otwierany przez klienta Zoom. Lokalny użytkownik podejmujący złośliwe działania może użyć tego portu debugowania, aby połączyć się z aplikacjami Zoom Apps uruchomionymi w kliencie Zoom i kontrolować je. Produkty, których dotyczy problem:
Źródło: Zgłoszono przez: zespół bezpieczeństwa Zoom |
|||||
|
ZSB-22022 | 10/11/2022 | Wdrożenia lokalne Zoom: niewłaściwa kontrola dostępu | Krytyczny | CVE-2022-28761 |
Poziom istotności: Krytyczny Wynik CVSS: 6.5 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Opis: Lokalny dodatek spotkania Zoom MMR przed wersją 4.8.20220916.131 zawiera lukę związaną z niewłaściwą kontrolą dostępu. W rezultacie osoba podejmująca złośliwe działania podczas spotkania lub webinaru, do którego ma uprawnienia do dołączenia, może uniemożliwić uczestnikom odbieranie dźwięku i obrazu, powodując zakłócenia spotkania. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń |
|||||
|
ZSB-22021 | 09/13/2022 | Wdrożenia lokalne Zoom: niewłaściwa kontrola dostępu | Krytyczny | CVE-2022-28760 |
Poziom istotności: Krytyczny Wynik CVSS: 6.5 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Opis: Lokalny dodatek spotkania (Meeting Connector) Zoom MMR przed wersją 4.8.20220815.130 zawiera lukę związaną z niewłaściwą kontrolą dostępu. W rezultacie osoba podejmująca złośliwe działania może dołączyć do spotkania, do którego dołączenia ma uprawnienia, nie ujawniając się innym uczestnikom. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń |
|||||
|
ZSB-22020 | 09/13/2022 | Wdrożenia lokalne Zoom: niewłaściwa kontrola dostępu | Krytyczny |
CVE-2022-28758 CVE-2022-28759 |
Poziom istotności: Krytyczny Wynik CVSS: 8.2 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Opis: Lokalny dodatek spotkania (Meeting Connector) Zoom MMR przed wersją 4.8.20220815.130 zawiera lukę związaną z niewłaściwą kontrolą dostępu. W rezultacie osoba podejmująca złośliwe działania może uzyskać przekaz audio i wideo ze spotkania, do którego dołączenia nie była upoważniona, i spowodować inne zakłócenia spotkania. Produkty, których dotyczy problem:
Źródło: Zgłoszono przez: zespół bezpieczeństwa Zoom |
|||||
|
ZSB-22019 | 08/17/2022 | Lokalna eskalacja uprawnień w automatycznych aktualizacjach dla Zoom Client for Meetings dla systemu macOS | Krytyczny | CVE-2022-28757 |
Poziom istotności: Krytyczny Wynik CVSS: 8.8 Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Opis: Zoom Client for Meetings dla systemu macOS (standardowy i dla administratora IT) począwszy od wersji 5.7.3 i przed 5.11.6 zawiera lukę w procesie automatycznej aktualizacji. Lokalny, nisko uprzywilejowany użytkownik może wykorzystać tę lukę do podniesienia swoich uprawnień do rangi roota. Produkty, których dotyczy problem:
Źródło: Zgłoszono przez: Csaba Fitzl (theevilbit) z Offensive Security |
|||||
|
ZSB-22018 | 08/13/2022 | Lokalna eskalacja uprawnień w automatycznych aktualizacjach dla produktów Zoom dla systemu macOS [Updated 2022-09-13] | Krytyczny | CVE-2022-28756 |
Poziom istotności: Krytyczny Wynik CVSS: 8.8 Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Opis: Zoom Client for Meetings dla systemu macOS (standardowy i dla administratora IT) od wersji 5.7.3 i przed 5.11.5 oraz Zoom Rooms dla sali konferencyjnej (Zoom Rooms for Conference Room) dla systemu macOs przed wersją 5.11.6 zawierają lukę w procesie automatycznej aktualizacji. Lokalny, nisko uprzywilejowany użytkownik może wykorzystać tę lukę do podniesienia swoich uprawnień do rangi roota. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Patrick Wardle z Objective-See |
|||||
|
ZSB-22017 | 08/09/2022 | Lokalna eskalacja uprawnień w Zoom Client for Meetings dla systemu macOS | Krytyczny | CVE-2022-28751 |
Poziom istotności: Krytyczny Wynik CVSS: 8.8 Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Opis: Zoom Client for Meetings dla systemu MacOS (standardowy i dla administratora IT) przed wersją 5.11.3 zawiera lukę w walidacji podpisu pakietu podczas procesu aktualizacji. Lokalny, nisko uprzywilejowany użytkownik może wykorzystać tę lukę do podniesienia swoich uprawnień do rangi roota. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Patrick Wardle z Objective-See |
|||||
|
ZSB-22014 | 08/09/2022 | Wdrożenia lokalne Zoom: niewłaściwa kontrola dostępu | Krytyczny |
CVE-2022-28753 CVE-2022-28754 |
Poziom istotności: Krytyczny Wynik CVSS: 7.1 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N
Opis: Lokalny dodatek spotkania (Meeting Connector) Zoom MMR przed wersją 4.8.129.20220714 zawiera lukę związaną z niewłaściwą kontrolą dostępu. W rezultacie osoba podejmująca złośliwe działania może dołączyć do spotkania, do którego dołączenia ma uprawnienia, nie ujawniając się innym uczestnikom, może wpuścić się na spotkanie z poczekalni, a także zostać prowadzącym i spowodować inne zakłócenia spotkania. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń |
|||||
|
ZSB-22016 | 08/09/2022 | Nieprawidłowe przetwarzanie adresów URL w klientach Zoom [Updated 2022-10-24] | Krytyczny | CVE-2022-28755 |
Poziom istotności: Krytyczny Wynik CVSS: 9.6 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Opis: Zoom Client for Meetings (dla systemu Android, iOS, Linux, macOS i Windows) przed wersją 5.11.0 jest podatny na lukę w przetwarzaniu adresów URL. W przypadku otwarcia złośliwego adresu URL do spotkania Zoom złośliwy link może skierować użytkownika do połączenia z arbitralnym adresem sieciowym, co prowadzi do dodatkowych ataków, w tym możliwości zdalnego wykonania kodu poprzez uruchomienie plików wykonywalnych z dowolnych ścieżek. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń |
|||||
|
ZSB-22012 | 08/09/2022 | Lokalne wdrożenia Zoom: przepełnienie bufora stosu w dodatku spotkania | Krytyczny | CVE-2022-28750 |
Poziom istotności: Krytyczny Wynik CVSS: 7.5 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Opis: Kontroler stacjonarnego dodatku spotkania (Meeting Connector, ZC) przed wersją 4.8.20220419.112 nie przetwarza poprawnie kodów błędów STUN, co może skutkować uszkodzeniem pamięci i umożliwić osobie podejmującej złośliwe działania wywołanie awarii aplikacji. W wersjach starszych niż 4.8.12.20211115 luka ta może zostać wykorzystana do wykonania dowolnego kodu. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń |
|||||
|
ZSB-22011 | 06/14/2022 | Niewystarczająca weryfikacja uprawnień podczas dołączania do spotkania | Krytyczny | CVE-2022-28749 |
Poziom istotności: Krytyczny Wynik CVSS: 6.5 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Opis: Lokalny dodatek spotkania (Meeting Connector) MMR Zoom przed wersją 4.8.113.20220526 nie sprawdza dokładnie uprawnień uczestników spotkania Zoom. W związku z tym znajdujący się w poczekalni Zoom podmiot zagrażający może dołączyć do spotkania bez zgody prowadzącego. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Zespół Zoom ds. zabezpieczeń |
|||||
|
ZSB- 22010 | 06/14/2022 | Wstrzyknięcie DLL w instalatorze rozszerzenia Zoom Opener dla klientów Zoom i Zoom Rooms | Krytyczny | CVE-2022-22788 |
Poziom istotności: Krytyczny Wynik CVSS: 7.1 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
Opis: Instalator rozszerzenia Zoom Opener jest pobierany przez użytkownika ze strony „Rozpocznij spotkanie” podczas próby dołączenia do spotkania bez zainstalowanego klienta Zoom Meeting. Instalatory Zoom Opener dla Zoom Client for Meetings przed wersją 5.10.3 i Zoom Rooms for Conference Room na Windows przed wersją 5.10.3 są podatne na atak z wykorzystaniem wstrzyknięcia DLL. Ta podatność może być wykorzystana do uruchomienia dowolnego kodu na hoście ofiary. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez: James Tsz Ko Yeung |
|||||
|
ZSB-22009 | 05/17/2022 | Niewystarczająca walidacja nazwy hosta podczas przełączania serwerów w kliencie Zoom Client for Meetings | Krytyczny | CVE-2022-22787 |
Poziom istotności: Krytyczny Wynik CVSS: 5.9 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L
Opis: Klient Zoom Client for Meetings (dla systemów Android, iOS, Linux i Windows) w wersji starszej niż 5.10.0 nie weryfikuje prawidłowo nazwy hosta podczas żądań przełączenia serwera. Ten problem mógłby zostać wykorzystany w bardziej zaawansowanym ataku polegającym na oszukaniu nieświadomego użytkownika w celu połączenia go ze złośliwym serwerem podczas próby korzystania z usług Zoom. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Ivan Fratric, Google Project Zero |
|||||
|
ZSB-22008 | 05/17/2022 | Cofnięcie wersji pakietu aktualizacji w kliencie Zoom Client for Meetings dla systemu Windows | Krytyczny | CVE-2022-22786 |
Poziom istotności: Krytyczny Wynik CVSS: 7.5 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Opis: Klient Zoom Client for Meetings dla systemu Windows przed wersją 5.10.0 i Zoom Rooms dla sali konferencyjnej dla systemu Windows przed wersją 5.10.0 nie sprawdza prawidłowo wersji instalacji podczas procesu aktualizacji. Ten problem mógłby zostać wykorzystany w bardziej zaawansowanym ataku polegającym na oszukaniu użytkownika w celu obniżenia wersji klienta Zoom do mniej bezpiecznej wersji. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Ivan Fratric, Google Project Zero |
|||||
|
ZSB-22007 | 05/17/2022 | Nieprawidłowo ograniczone pliki cookie sesji w kliencie Zoom Client for Meetings | Krytyczny | CVE-2022-22785 |
Poziom istotności: Krytyczny Wynik CVSS: 5.9 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L
Opis: Klient Zoom Client for Meetings (dla systemów Android, iOS, Linux i Windows) w wersji starszej niż 5.10.0 nie ogranicza prawidłowo plików cookie sesji klienta do domen Zoom. Ten problem mógłby zostać wykorzystany w bardziej zaawansowanym ataku polegającym na wysłaniu plików cookie sesji z zakresu Zoom użytkownika do domeny innej niż domena Zoom. Mogłoby to potencjalnie umożliwić spoofing użytkownika Zoom. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Ivan Fratric, Google Project Zero |
|||||
|
ZSB- 22006 | 05/17/2022 | Nieprawidłowe analizowanie plików XML w kliencie Zoom Client for Meetings | Krytyczny | CVE-2022-22784 |
Poziom istotności: Krytyczny Wynik CVSS: 8.1 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Opis: Klient Zoom Client for Meetings (dla systemów Android, iOS, Linux i Windows) w wersji starszej niż 5.10.0 nie analizuje prawidłowo plików XML w wiadomościach XMPP. Może to prowadzić do wybicia złośliwego użytkownika z bieżącego kontekstu wiadomości XMPP i utworzenia nowego kontekstu wiadomości w celu wykonania różnych działań na platformie klienta użytkownika otrzymującego wiadomość. Ten problem mógłby zostać wykorzystany w bardziej zaawansowanych atakach w celu podrabiania wiadomości XMPP pochodzących z serwera. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Ivan Fratric, Google Project Zero |
|||||
|
ZSB- 22005 | 04/27/2022 | Ujawnienie pamięci procesowej w usługach lokalnych spotkań na platformie Zoom | Krytyczny | CVE-2022-22783 |
Poziom istotności: Krytyczny Wynik CVSS: 8.3 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/CR:H
Opis: Luka w zabezpieczeniach w kontrolerze Zoom On-Premise Meeting Connector Controller w wersji 4.8.102.20220310 oraz w łączniku On-Premise Meeting Connector MMR w wersji 4.8.102.20220310 ujawnia fragmenty pamięci podłączonym klientom, co może być obserwowane przez pasywne osoby atakujące. Produkty, których dotyczy problem:
Źródło: Zespół Zoom ds. zabezpieczeń |
|||||
|
ZSB-22004 | 04/27/2022 | Lokalna eskalacja uprawnień w klientach Zoom Client w systemie Windows | Krytyczny | CVE-2022-22782 |
Poziom istotności: Krytyczny Wynik CVSS: 7.9 Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H
Opis: Zoom Client for Meetings dla systemu Windows przed wersją 5.9.7, Zoom Rooms dla sali konferencyjnej dla systemu Windows przed wersją 5.10.0, wtyczki Zoom dla programu Microsoft Outlook dla systemu Windows przed wersją 5.10.3 oraz klienty spotkań Zoom VDI dla systemu Windows przed wersją 5.9.6; podlegały problemowi z lokalną eskalacją uprawnień podczas operacji naprawy instalatora. Atakujący mógł wykorzystać tę lukę do potencjalnego usunięcia plików i folderów na poziomie systemowym, co mogło doprowadzić do problemów ze spójnością lub dostępnością na komputerach hostów. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Zero Day Initiative |
|||||
|
ZSB-22003 | 04/27/2022 | Cofnięcie wersji pakietu aktualizacji w kliencie Zoom Client for Meetings dla systemu MacOS | Krytyczny | CVE-2022-22781 |
Poziom istotności: Krytyczny Wynik CVSS: 7.5 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Opis: Zoom Client for Meetings dla systemu MacOS (standardowy i dla administratora IT) przed wersją 5.9.6 nie sprawdzał prawidłowo wersji pakietu w procesie aktualizacji. Może to doprowadzić do sytuacji, w której atakujący zaktualizuje bieżącą, zainstalowaną wersję nieświadomego użytkownika do mniej bezpiecznej wersji. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Patrick Wardle z Objective-See |
|||||
|
ZSB-22002 | 02/08/2022 | Zoom Team Chat podatny na bombę dekompresyjną | Krytyczny | CVE-2022-22780 |
Poziom istotności: Krytyczny Wynik CVSS: 4.7 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L
Opis: Funkcja czatu Zoom Client for Meetings okazała się podatna na ataki bombą dekompresyjną w następujących wersjach produktu: dla systemu operacyjnego Android przed wersją 5.8.6, dla systemu operacyjnego iOS przed wersją 5.9.0, dla systemu operacyjnego Linux przed wersją 5.8.6, dla systemu operacyjnego macOS przed wersją 5.7.3 oraz dla systemu operacyjnego Windows przed wersją 5.6.3. Może to prowadzić do problemów z dostępnością na hoście klienta ze względu na wyczerpanie zasobów systemowych. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Johnny Yu z Walmart Global Tech |
|||||
|
ZSB-22001 | 02/08/2022 | Zachowano eksplodowane wiadomości w klientach Keybase dla systemów Android oraz iOS | Krytyczny | CVE-2022-22779 |
Poziom istotności: Krytyczny Wynik CVSS: 3.7 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Opis: Klienci Keybase dla systemów macOS i Windows wcześniejszych niż 5.9.0 nie usuwają z powodzeniem eksplodowanych wiadomości zainicjowanych przez użytkownika. Może się tak stać, jeśli użytkownik-odbiorca przełączy się na funkcję inną niż czat i przełączy prowadzącego w stan uśpienia przed eksplozją wiadomości od użytkownika-nadawcy. Może to spowodować ujawnienie poufnych informacji, które miały zostać usunięte z urządzenia klienta. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Olivię O'Harę |
|||||
|
ZSB-21022 | 12/14/2021 | Arbitralna realizacja polecenia w kliencie Keybase dla systemu Windows | Krytyczny | CVE-2021-34426 |
Poziom istotności: Krytyczny Wynik CVSS: 5.3 Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
Opis: W kliencie Keybase dla systemu Windows przed wersją 5.6.0 wykryto słaby punkt (lukę), gdy użytkownik realizował polecenie „keybase git lfs-config” w wierszu polecenia. W wersjach przed 5.6.0 złośliwy element z uprawnieniem do edycji repozytorium Git użytkownika mógł wykorzystać ten słaby punkt, aby potencjalnie realizować arbitralne polecenia Windows w lokalnym systemie użytkownika. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: RyotaK |
|||||
|
ZSB-21021 | 12/14/2021 | Fałszowanie żądań ze strony serwera w czacie Zoom Client for Meetings | Krytyczny | CVE-2021-34425 |
Poziom istotności: Krytyczny Wynik CVSS: 4.7 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N
Opis: Zoom Client for Meetings przed wersją 5.7.3 (w przypadku systemów operacyjnych Android, iOS, Linux, macOS i Windows) zawiera słaby punkt polegający na fałszowaniu żądań ze strony serwera w funkcji „podgląd łącza” czatu. W wersjach przed 5.7.3, gdy użytkownik włączał funkcję „podglądu łącza” czatu, złośliwy element mógł wymusić na nim ewentualne przesyłanie arbitralnych żądań HTTP GET do URL, do których element nie może zyskać bezpośrednio dostępu. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Johnny Yu z Walmart Global Tech |
|||||
|
ZSB-21020 | 11/24/2021 | Ekspozycja pamięci procesowej w Zoom Client oraz innych produktach | Krytyczny | CVE-2021-34424 |
Poziom istotności: Krytyczny Wynik CVSS: 5.3 Ciąg wektora CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Opis: W produktach wymienionych w sekcji „Produkty, których to dotyczy” niniejszego biuletynu wykryto słaby punkt (lukę), co potencjalnie umożliwiło ekspozycję stanu pamięci procesowej. Ta kwestia może potencjalnie pozwolić uzyskać dostęp do arbitralnych obszarów pamięci produktu. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Natalie Silvanovich z Google Project Zero |
|||||
|
ZSB-21019 | 11/24/2021 | Przepełnienie bufora w Zoom Client i innych produktach | Krytyczny | CVE-2021-34423 |
Poziom istotności: Krytyczny Wynik CVSS: 7.3 Ciąg wektora CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Opis: W przypadku produktów wymienionych w sekcji „Produkty, których to dotyczy” tego biuletynu wykryto słaby punkt polegający na przepełnieniu buforu. Potencjalnie pozwoli to złośliwemu elementowi spowodować zawieszenie usługi lub aplikacji bądź wykorzystać ten słaby punkt do realizacji arbitralnego kodu. Produkty, których dotyczy problem:
Źródło: Źródło: zgłoszone przez Natalie Silvanovich z Google Project Zero |
|||||
|
ZSB-21018 | 11/09/2021 | Przeszukiwanie ścieżek nazw plików w kliencie Keybase dla systemu Windows | Krytyczny | CVE-2021-34422 |
Poziom istotności: Krytyczny Wynik CVSS: 7.2 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
Opis: Klient Keybase dla systemu operacyjnego Windows przed wersją 5.7.0 zawiera słaby punkt polegający na przeszukiwaniu ścieżki podczas sprawdzania nazwy pliku przesłanego do grupowego folderu. Złośliwy użytkownik może przesłać plik do udostępnionego folderu ze specjalną nazwą pliku, przez co może uruchomić na urządzeniu hosta nieprzewidzianą dla niego aplikację. Jeśli złośliwy użytkownik wykorzystałby ten błąd w ramach funkcji udostępniania folderów publicznych klienta Keybase, mogłoby to spowodować zdalną realizację kodu. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: m4t35z |
|||||
|
ZSB-21017 | 11/09/2021 | Zachowano eksplodowane wiadomości w klientach Keybase dla systemów Android oraz iOS | Krytyczny | CVE-2021-34421 |
Poziom istotności: Krytyczny Wynik CVSS: 3.7 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Opis: Klient Keybase dla systemu Android przed wersją 5.8.0 oraz klient Keybase dla systemu iOS przed wersją 5.8.0 nie może odpowiednio usunąć wiadomości eksplodowanych zainicjowanych przez użytkownika, jeśli odbierający użytkownik umieścił sesję czatu w tle, gdy wysyłający użytkownik eksplodował wiadomości. Może to spowodować ujawnienie poufnych informacji, które miały zostać usunięte z urządzenia klienta. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Olivia O'Hara, John Jackson, Jackson Henry i Robert Willis |
|||||
|
ZSB-21016 | 11/09/2021 | Obejście podpisu pliku wykonywalnego instalacji Zoom Windows | Krytyczny | CVE-2021-34420 |
Poziom istotności: Krytyczny Wynik CVSS: 4.7 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N
Opis: Zoom Client for Meetings dla instalatora systemu Windows przed wersją 5.5.4 nie weryfikuje odpowiednio podpisu plików z rozszerzeniami .msi, .ps1 i .bat. Wskutek tego złośliwy element może zainstalować złośliwe oprogramowanie na komputerze klienta. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Laurent Delosieres z ManoMano |
|||||
|
ZSB-21015 | 11/09/2021 | Wprowadzenie/wstrzyknięcie HTML do klienta Linux Zoom | Krytyczny | CVE-2021-34419 |
Poziom istotności: Krytyczny Wynik CVSS: 3.7 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
Opis: W przypadku opcji Zoom Client for Meetings dla systemu Ubuntu Linux przed wersją 5.1.0 występuje usterka wprowadzenia/wstrzyknięcia HTML podczas wysyłania do użytkownika żądania dotyczącego zdalnego sterowania w procesie udostępniania ekranu podczas spotkania. Wskutek tego uczestnicy spotkania mogą stać się celami ataków z zakresu inżynierii społecznej. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Danny de Weille i Rick Verdoes z hackdefense |
|||||
|
ZSB-21014 | 11/09/2021 | Preautoryzacja, zawieszenie wskaźnika zerowego w stacjonarnej konsoli sieciowej | Krytyczny | CVE-2021-34418 |
Poziom istotności: Krytyczny Wynik CVSS: 4.0 Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L Opis: Usługa loginu konsoli sieciowej dla produktów wymienionych w sekcji „Produkty, których to dotyczy” tego biuletynu nie weryfikuje tego, że przesłano bajt ZEROWY podczas uwierzytelniania. Może to spowodować zawieszenie usługi loginu. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Jeremy Brown |
|||||
|
ZSB-21013 | 11/09/2021 | Uwierzytelniona zdalna realizacja polecenia z uprawnieniami root poprzez konsolę sieciową w MMR | Krytyczny | CVE-2021-34417 |
Poziom istotności: Krytyczny Wynik CVSS: 7.9 Ciąg wektora CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N Opis: Strona sieciowego serwera proxy w portalu internetowym dla produktów wymienionych w sekcji „Produkty, których to dotyczy” niniejszego biuletynu nie weryfikuje danych wejściowych przesyłanych w postulatach ustawienia hasła serwera proxy sieci. Może to skutkować zdalnym wprowadzeniem polecenia przez administratora portalu internetowego. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Jeremy Brown |
|||||
|
ZSB-21012 | 09/30/2021 | Zdalna realizacja kodu w stosunku do obrazów lokalnych poprzez portal internetowy | Krytyczny | CVE-2021-34416 |
Poziom istotności: Krytyczny Wynik CVSS: 5.5 Ciąg wektora CVSS: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N Opis: Portal internetowy ustawień administracyjnych adresu sieciowego dla lokalnego dodatku spotkania Zoom (Meeting Connector) przed wersją 4.6.360.20210325, lokalny dodatek spotkania (Meeting Connector) MMR Zoom przed wersją 4.6.360.20210325, lokalny dodatek nagrywania Zoom (Recording Connector) przed wersją 3.8.44.20210326, lokalny dodatek Virtual Room Zoom przed wersją 4.4.6752.20210326 oraz lokalny dodatek Virtual Room Zoom Load Balancer przed wersją 2.5.5495.20210326 nie weryfikują danych wejściowych przesyłanych w postulatach aktualizacji konfiguracji sieci, co może powodować zdalne wprowadzenie polecenia na lokalnym obrazie przez administratorów portalu internetowego. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Egor Dimitrenko z Positive Technologies |
|||||
|
ZSB-21011 | 09/30/2021 | Zawieszenie ZC przy użyciu PDU, co powoduje wiele alokacji | Krytyczny | CVE-2021-34415 |
Poziom istotności: Krytyczny Wynik CVSS: 7.5 Ciąg wektora CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H Opis: Usługa Kontroler strefy w lokalnym kontrolerze dodatku spotkania Zoom przed wersją 4.6.358.20210205 nie weryfikuje pola cnt przesyłanego w przychodzących pakietach sieciowych, co powoduje wyczerpanie zasobów i zawieszenie systemu. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Nikita Abramov z Positive Technologies |
|||||
|
ZSB-21010 | 09/30/2021 | Zdalna realizacja kodu w stosunku do serwera dodatku spotkania poprzez konfigurację proxy sieci portalu internetowego | Krytyczny | CVE-2021-34414 |
Poziom istotności: Krytyczny Wynik CVSS: 7.2 Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H Opis: Strona proxy sieci na portalu internetowym dla lokalnego kontrolera dodatku spotkania (Meeting Connector) Zoom przed wersją 4.6.348.20201217, lokalny dodatek spotkania (Meeting Connector) MMR Zoom przed wersją 4.6.348.20201217, lokalny dodatek nagrywania (Recording Connector) Zoom przed wersją 3.8.42.20200905, lokalny dodatek Virtual Room Zoom przed wersją 4.4.6620.20201110 oraz lokalny dodatek Virtual Room Zoom Load Balancer przed wersją 2.5.5495.20210326 nie weryfikują danych przesyłanych w żądaniach aktualizacji konfiguracji proxy sieci, co może spowodować zdalne wprowadzenie polecenia na obrazie lokalnym przez administratora portalu internetowego. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Egor Dimitrenko z Positive Technologies |
|||||
|
ZSB-21009 | 09/30/2021 | Zoom MacOS, instalator wtyczki Zoom Outlook Plugin, eskalacja uprawnień lokalnych | Krytyczny | CVE-2021-34413 |
Poziom istotności: Krytyczny Wynik CVSS: 2.8 Ciąg wektora CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N Opis: Wszystkie wersje wtyczki Zoom dla programu Microsoft Outlook dla systemu MacOS przed 5.3.52553.0918 zawierają lukę Time-of-check Time-of-use (TOC/TOU) podczas procesu instalacji wtyczki. Potencjalnie pozwoli to standardowemu użytkownikowi zapisać własną złośliwą aplikację w katalogu wtyczki, pozwalając złośliwej aplikacji realizować działania w uprzywilejowanym kontekście. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Lockheed Martin Red Team |
|||||
|
ZSB-21008 | 09/30/2021 | Instalator Zoom for Windows, eskalacja uprawnień lokalnych | Krytyczny | CVE-2021-34412 |
Poziom istotności: Krytyczny Wynik CVSS: 4.4 Ciąg wektora CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Opis: Podczas procesu instalacji dla wszystkich wersji Zoom Client for Meetings dla systemu Windows przed 5.4.0 można uruchomić program Internet Explorer. Jeżeli instalator został uruchomiony z większymi uprawnieniami, takimi jak SCCM, może to skutkować eskalacją lokalnych uprawnień. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Lockheed Martin Red Team |
|||||
|
ZSB-21007 | 09/30/2021 | Instalator Zoom Rooms, eskalacja lokalnych uprawnień | Krytyczny | CVE-2021-34411 |
Poziom istotności: Krytyczny Wynik CVSS: 4.4 Ciąg wektora CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Opis: Podczas procesu instalacji Zoom Rooms do sali konferencyjnej (Zoom Rooms for Conference Room) dla systemu Windows przed wersją 5.3.0 można uruchomić przeglądarkę Internet Explorer ze zwiększonymi uprawnieniami. Jeżeli instalator został uruchomiony z większymi uprawnieniami, takimi jak SCCM, może to skutkować eskalacją lokalnych uprawnień. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Lockheed Martin Red Team |
|||||
|
ZSB-21004 | 09/30/2021 | Instalator Zoom MSI, rozszerzony zapis przy użyciu węzła | Krytyczny | CVE-2021-34408 |
Poziom istotności: Krytyczny Wynik CVSS: 7.0 Ciąg wektora CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis: Katalog edytowalny przez użytkownika utworzony podczas instalacji opcji Zoom Client for Meetings dla systemu Windows w wersji przed 5.3.2 może być przekierowany do innej lokalizacji za pomocą węzła. Potencjalnie pozwoli to osobie atakującej nadpisać pliki, których ograniczony użytkownik nie może modyfikować. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Lockheed Martin Red Team |
|||||
|
ZSB-21003 | 09/30/2021 | Windows, instalator Zoom, obejście podpisu elektronicznego | Krytyczny | CVE-2021-33907 |
Poziom istotności: Krytyczny Wynik CVSS: 7.0 Ciąg wektora CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H/MPR:N/MUI:R/MS:U/MC:H/MI:H/MA:H
Opis: Zoom Client for Meetings dla systemu Windows we wszystkich wersjach przed 5.3.0 nie może poprawnie zweryfikować informacji certyfikatu wykorzystywanych do podpisywania plików .msi podczas wykonywania aktualizacji klienta. Może to powodować realizację zdalną kodu w kontekście zwiększonych przywilejów. Produkty, których dotyczy problem:
Źródło: Zgłoszenie: Lockheed Martin Red Team |
|||||
|
ZSB-21002 | 08/13/2021 | Przepełnienie sterty bufora statycznego niezaznaczonego zapisu z wiadomości XMPP | Krytyczny | CVE-2021-30480 |
Poziom istotności: Krytyczny Wynik CVSS: 8.1 Ciąg wektora CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H
Opis: Przepełnienie buforu oparte na stercie występuje we wszystkich wersjach stacjonarnych programu Zoom Client for Meetings przed wersją 5.6.3. Zostało to zgłoszone do Zoom w ramach Pwn2Own Vancouver 2021. Łańcuch ataków zademonstrowany podczas Pwn2Own został złagodzony przez zmianę po stronie serwera w infrastrukturze Zoom w dniu 9 kwietnia 2021. Produkty, których dotyczy problem:
Źródło: Zgłoszone przez Daana Keupera i Thijsa Alkemade z Computest za pośrednictwem Zero Day Initiative |
|||||
|
ZSB-21001 | 03/26/2021 | Funkcja udostępniania ekranu w oknie aplikacji | Krytyczny | CVE-2021-28133 |
Poziom istotności: Krytyczny Wynik CVSS: 5.7 Ciąg wektora CVSS: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N
Opis: Luka wpłynęła na funkcję udostępniania ekranów klientów Zoom w systemie Windows i Linux podczas udostępniania poszczególnych okien aplikacji, w których zawartość ekranu aplikacji, nie będących jawnie udostępnianych przez użytkowników udostępniających ekran, może być przez chwilę widoczna dla innych uczestników spotkania, jeśli „ udostępniający” minimalizuje, maksymalizuje lub zamyka inne okno. Produkty, których dotyczy problem:
Źródło: Wykonane przez Michaela Strameza i Matthiasa Deega. |
|||||
|
ZSB-20002 | 08/14/2020 | Pliki DLL dla systemu Windows w usłudze udostępniania Zoom | Krytyczny | CVE-2020-9767 |
Poziom istotności: Krytyczny Wynik CVSS: 7.8 Ciąg wektora CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis: Luka związana z ładowaniem biblioteki łączonej dynamicznie („DLL”) w usłudze udostępniania Zoom może umożliwić lokalnemu użytkownikowi systemu Windows zwiększenie uprawnień użytkownika NT AUTHORITY/SYSTEM. Produkty, których dotyczy problem:
Źródło: Connor Scott z Context Information Security |
|||||
|
ZSB-20001 | 05/04/2020 | Instalator Zoom dla IT w systemie Windows | Krytyczny | CVE-2020-11443 |
Poziom istotności: Krytyczny Wynik CVSS: Base: 8.4 Ciąg wektora CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H
Opis: Luka w sposobie, w jaki instalator Zoom dla systemu Windows obsługuje połączenia podczas usuwania plików, może umożliwić lokalnemu użytkownikowi systemu Windows usunięcie plików, których w przeciwnym razie nie mógłby usunąć. Produkty, których dotyczy problem:
Źródło: Podziękowania dla Lockheed Martin Red Team. |
|||||
|
ZSB-19003 | 07/12/2019 | ZoomOpener daemon | Krytyczny | CVE-2019-13567 |
Poziom istotności: Krytyczny Wynik CVSS: Base: 7.5 Ciąg wektora CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Opis: Luka w Zoom dla klientów MacOS może umożliwić atakującemu pobranie złośliwego oprogramowania na urządzenie użytkownika. Produkty, których dotyczy problem:
Źródło: Nieznany. |
|||||
|
ZSB-19002 | 07/09/2019 | Domyślne ustawienie wideo | Krytyczny | CVE-2019-13450 |
Poziom istotności: Krytyczny Wynik CVSS: Base: 3.1 Ciąg wektora CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
Opis: Luka Zoom i RingCentral u klientów MacOS może umożliwić zdalnemu, nieuwierzytelnionemu napastnikowi zmuszenie użytkownika do przyłączenia się do rozmowy wideo z włączoną kamerą wideo. Produkty, których dotyczy problem:
Źródło: Wykonany przez Jonathan Leitschuh. |
|||||
|
ZSB-19001 | 07/09/2019 | Atak typu „odmowa usługi” – MacOS | Krytyczny | CVE-2019-13449 |
Poziom istotności: Krytyczny Wynik CVSS: Base: 3.1 Ciąg wektora CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Opis: Luka w Zoom dla klientów MacOS może umożliwić zdalnemu, nieuwierzytelnionemu napastnikowi wywołanie stanu odmowy usługi w systemie użytkownika. Produkty, których dotyczy problem:
Źródło: Wykonany przez Jonathan Leitschuh. |
|||||
No results found |
Podaj własny adres e-mail, aby otrzymać powiadomienie o przyszłych wydaniach Biuletynu zabezpieczeń Zoom. (Uwaga: aliasy e-mail nie otrzymają tego rodzaju powiadomień).