Trust Center Security, Privacy, Blogs Additional Resources

Boletim de segurança

Para mais informações sobre nossa resposta ao Log4j, acesse o Boletim de Segurança do Zoom para informações sobre o Apache Log4j.

LEIA MAIS
Severity All
  • Severity All
  • Critical
  • High
  • Medium
  • Low
CVE All
  • CVE All
  • CVE-2023-28597
  • CVE-2023-28596
  • CVE-2023-22883
  • CVE-2023-22881
    CVE-2023-22882
  • CVE-2023-22880
  • CVE-2022-36930
  • CVE-2022-36929
  • CVE-2022-36928
  • CVE-2022-36926
    CVE-2022-36927
  • CVE-2022-36925
  • CVE-2022-36924
  • CVE-2022-28768
  • CVE-2022-28766
  • CVE-2022-28764
  • CVE-2022-28763
  • CVE-2022-28762
  • CVE-2022-28761
  • CVE-2022-28760
  • CVE-2022-28758
    CVE-2022-28759
  • CVE-2022-28757
  • CVE-2022-28756
  • CVE-2022-28751
  • CVE-2022-28753
    CVE-2022-28754
  • CVE-2022-28755
  • CVE-2022-28752
  • CVE-2022-28750
  • CVE-2022-28749
  • CVE-2022-22788
  • CVE-2022-22787
  • CVE-2022-22786
  • CVE-2022-22785
  • CVE-2022-22784
  • CVE-2022-22783
  • CVE-2022-22782
  • CVE-2022-22781
  • CVE-2022-22780
  • CVE-2022-22779
  • CVE-2021-34426
  • CVE-2021-34425
  • CVE-2021-34424
  • CVE-2021-34423
  • CVE-2021-34422
  • CVE-2021-34421
  • CVE-2021-34420
  • CVE-2021-34419
  • CVE-2021-34418
  • CVE-2021-34417
  • CVE-2021-34416
  • CVE-2021-34415
  • CVE-2021-34414
  • CVE-2021-34413
  • CVE-2021-34412
  • CVE-2021-34411
  • CVE-2021-34408
  • CVE-2021-33907
  • CVE-2021-30480
  • CVE-2021-28133
  • CVE-2020-9767
  • CVE-2020-11443
  • CVE-2019-13567
  • CVE-2019-13450
  • CVE-2019-13449
Pesquisar

Boletim de segurança

ZSB Date Title Severity CVE (if applicable)
ZSB-23005 03/14/2023 Implementação de limite inadequado de confiança para o SMB em clientes Zoom High CVE-2023-28597

Severity: High

CVSS Score: 8.3

CVSS Vector String: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

Description: Os clientes Zoom anteriores à versão 5.13.5 contém uma vulnerabilidade de implementação de limite inadequado de confiança. Se uma vítima salvar uma gravação local em uma localização SMB e posteriormente abri-la usando um link do portal da web do Zoom, um invasor posicionado em uma rede adjacente a do cliente vítima poderia configurar um servidor SMB mal-intencionado para responder a solicitações do cliente, fazendo com que o cliente rodasse executáveis controlados pelo invasor. Como resultado, o invasor poderia ter acesso ao dispositivo e dados do usuário e na execução de códigos remotos.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Clientes Zoom (for Android, iOS, Linux, macOS e Windows) anteriores à versão 5.13.5
  • Clientes Zoom Rooms (for Android, iOS, Linux, macOS e Windows) anteriores à versão 5.13.5
  • Clientes Zoom VDI Windows Meeting anteriores à versão 5.13.10

Source: Relatado pela equipe de segurança ofensiva Zoom

ZSB-23004 03/14/2023 Escalação de privilégio local nos instaladores do Zoom for macOS Medium CVE-2023-28596

Severity: Medium

CVSS Score: 5.2

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L

Description: Instaladores macOS do cliente Zoom para administrador de TI anteriores a versão 5.13.5 contém uma vulnerabilidade de escalação de privilégio local. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade em uma corrente de ataque durante o processo de instalação para escalar seus privilégios para privilégios até a raiz.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Instaladores macOS do Zoom Client for Meetings para Administrador de TI anteriores à versão 5.13.5

Source: Reportado por Koh M. Nakagawa (tsunekoh)

ZSB-23003 03/14/2023 Escalação de privilégio local em instaladores do Zoom for Windows High CVE-2023-22883

Severity: High

CVSS Score: 7.2

CVSS Vector String: CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:N/I:H/A:H

Description: Instaladores Windows do cliente Zoom para administrador de TI anteriores a versão 5.13.5 contém uma vulnerabilidade de escalação de privilégio local. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade em uma corrente de ataque durante o processo de instalação para escalar seus privilégios para o usuário do SISTEMA.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Instaladores Windows do Zoom Client for Meetings para Administrador de TI anteriores à versão 5.13.5

Source: Relatado por sim0nsecurity

ZSB-23002 03/14/2023 Negação de serviço em clientes Zoom Medium CVE-2023-22881
CVE-2023-22882

Severity: Medium

CVSS Score: 6.5

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Description: Clientes Zoom anteriores à versão 5.13.5 contém uma vulnerabilidade de análise STUN. Um ator mal-intencionado poderia enviar um tráfego UDP criado especialmente para um cliente Zoom vítima para, remotamente, fazer com que o cliente trave, causando uma negação de serviço.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Clientes Zoom (for Android, iOS, Linux, macOS e Windows) anteriores à versão 5.13.5

Source: Relatado pela equipe de segurança ofensiva Zoom

ZSB-23001 03/14/2023 Divulgação de informações nos clientes Zoom for Windows Medium CVE-2023-22880

Severity: Medium

CVSS Score: 6.8

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N

Description: Os clientes Zoom for Windows anteriores à versão 5.13.3, clientes Zoom Rooms for Windows anteriores à versão 5.13.5 e clientes Zoom VDI for Windows anteriores à versão 5.13.1 contém uma vulnerabilidade de divulgação de informações. Uma atualização recente do Microsoft Edge WebView2 Runtime usada pelos clientes Zoom afetados, transmitia texto para o serviço de correção ortográfica e gramatical on-line da Microsoft, ao invés de fazê-lo usando a correção de ortografia e gramática local do Windows. Atualizar o Zoom resolve esta vulnerabilidade ao desabilitar o recurso. Atualizar o Microsoft Edge WebView2 Runtime para, no mínimo, a versão 109.0.1481.0 e reiniciar o Zoom resolve essa vulnerabilidade atualizando o comportamento de telemetria da Microsoft.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Clientes Zoom for Windows anteriores à versão 5.13.3
  • Clientes Zoom Rooms for Windows anteriores à versão 5.13.3
  • Clientes Zoom VDI for Windows anteriores à versão 5.13.1

Source: Relatado pela equipe de segurança do Zoom

ZSB-22035 01/06/2023 Escalação de privilégio local em instaladores do Zoom Rooms for Windows High CVE-2022-36930

Severity: High

CVSS Score: 8.2

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Description: Instaladores do Zoom Rooms for Windows anteriores a versão 5.13.0 contém uma vulnerabilidade de escalação de privilégio local. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade durante uma corrente de ataque para escalar seus privilégios até o usuário de SISTEMA.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Instaladores Zoom Rooms for Windows anteriores à versão 5.13.0

Source: Relatado por sim0nsecurity

ZSB-22034 01/06/2023 Escalação de privilégio local em clientes Zoom Rooms for Windows High CVE-2022-36929

Severity: High

CVSS Score: 7.8

CVSS Vector String: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Clientes Zoom Rooms for Windows anteriores a versão 5.12.7 contém uma vulnerabilidade de escalação de privilégio local. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade durante uma corrente de ataque para escalar seus privilégios até o usuário de SISTEMA.
Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download

Affected Products:

  • Clientes Zoom for Windows anteriores à versão 5.12.7

Source: Relatado por sim0nsecurity

ZSB-22033 01/06/2023 Ataque de passagem em clientes Zoom for Android Critical CVE-2022-36928

Severity: Critical

CVSS Score: 6.1

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N

Description: Os clientes Zoom for Android anteriores à versão 5.13.0 contém uma vulnerabilidade de ataque de passagem. Um aplicativo de terceiros poderia explorar essa vulnerabilidade para ler e gravar no diretório de dados do aplicativo Zoom.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Clientes Zoom for Android anteriores à versão 5.13.0

Source: Comunicado por Dimitrios Valsamaras da Microsoft

ZSB-22032 01/06/2023 Escalação de privilégio local em clientes Zoom Rooms for macOS Critical CVE-2022-36926
CVE-2022-36927

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Clientes Zoom Rooms for macOS anteriores a versão 5.11.3 contém uma vulnerabilidade de escalação de privilégio local. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade para escalar seus privilégios até a raiz.
Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Clientes Zoom for macOS anteriores à versão 5.11.3

Source: Comunicado por Kirin (Pwnrin)

ZSB-22031 01/06/2023 Geração insegura de chave para clientes Zoom Rooms for macOS Critical CVE-2022-36925

Severity: Critical

CVSS Score: 4.4

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

Description: Clientes Zoom Rooms for macOS anteriores à versão 5.11.4 contém um mecanismo inseguro de geração de chave. A chave de criptografia usada para IPC entre o serviço daemon do Zoom Rooms e o cliente Zoom Rooms foi gerada usando parâmetros que poderiam ser obtidos por um aplicativo local de baixo privilégio. A chave, em seguida, poderia ser usada para interagir com o serviço daemon para executar funções privilegiadas e causar uma negação de serviço local.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Zoom Rooms for macOS anteriores à versão 5.11.4

Source: Comunicado por Kirin (Pwnrin)

ZSB-22030 11/15/2022 Escalação de privilégio local no instalador do Zoom Rooms para Windows Critical CVE-2022-36924

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: O instalador do Zoom Rooms para Windows anterior à versão 5.12.6 contém uma vulnerabilidade na escalação do privilégio local. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade durante o processo de instalação para escalar seus privilégios até o usuário de SISTEMA.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Instalador do Zoom Rooms para Windows antes da versão 5.12.6

Source: Relatado por sim0nsecurity

ZSB-22029 11/15/2022 Escalação de privilégio local do instalador do cliente Zoom para macOS Critical CVE-2022-28768

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: O instalador do Zoom Client for Meetings para macOS (padrão e para administrador de TI) antes da versão 5.12.6 contém uma vulnerabilidade na escalação do privilégio local. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade durante o processo de instalação para escalar seus privilégios até a raiz.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Instalador do Zoom Client for Meetings para macOS (padrão e para administrador de TI) antes da versão 5.12.6

Source: Reportado por Koh M. Nakagawa (tsunekoh)

ZSB-22027 11/15/2022 Injeção de DLL nos Zoom Windows Clients Critical CVE-2022-28766

Severity: Critical

CVSS Score: 8.1

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L

Description: As versões de 32 bits para Windows do Zoom Client for Meetings anteriores à 5.12.6 e do Zoom Rooms para Sala de Conferência anteriores à 5.12.6 são suscetíveis a uma vulnerabilidade de injeção de DLL. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade para executar códigos arbitrários no contexto do cliente Zoom.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download

Affected Products:

  • Zoom Client for Meetings para Windows (32 bits) anterior à versão 5.12.6
  • Cliente de reunião Zoom VDI Windows (32 bits) anterior à versão 5.12.6
  • Zoom Rooms para Sala de Conferência para Windows (32 bits) anterior à versão 5.12.6

Source: Relatado por sim0nsecurity

ZSB-22025 11/10/2022 Exposição de informações locais nos clientes Zoom Critical CVE-2022-28764

Severity: Critical

CVSS Score: 3.3

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Description: O Zoom Client for Meetings (para Android, iOS, Linux, macOS e Windows) anterior à versão 5.12.6 é suscetível a uma vulnerabilidade de exposição de informações locais.

Uma falha na limpeza dos dados do banco de dados SQL local ao final da reunião e o uso de uma chave pouco segura por dispositivo ao criptografar tal banco de dados permite a um usuário mal-intencionado local obter informações, como o chat, da reunião finalizada e acessada por meio de sua conta de usuário local.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings (para Android, iOS, Linux, macOS e Windows) anterior à versão 5.12.6
  • Clientes de reunião Zoom VDI Windows anteriores à versão 5.12.6
  • Zoom Rooms para Sala de Conferência (para Android, iOS, Linux, macOS e Windows) anterior à versão 5.12.6

Source: Reportado por Christian Zäske da SySS GmbH

ZSB-22024 10/24/2022 Análise inadequada do URL nos Zoom clients Critical CVE-2022-28763

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Description: O Zoom Client for Meetings (para Android, iOS, Linux, macOS e Windows) anterior à versão 5.12.2 é suscetível à vulnerabilidade de análise de URL. Se um URL de reunião mal-intencionado do Zoom for aberto, o link mal-intencionado poderá direcionar o usuário para se conectar a um endereço de rede arbitrário, levando a ataques adicionais, incluindo a tomada de controle da sessão.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings (para Android, iOS, Linux, macOS e Windows) anterior à versão 5.12.2
  • Clientes de reunião Zoom VDI Windows anteriores à versão 5.12.2
  • Zoom Rooms para Sala de Conferência (para Android, iOS, Linux, macOS e Windows) anterior à versão 5.12.2

Source: Relatado pela equipe de segurança do Zoom

ZSB-22023 10/11/2022 Depurando uma configuração errada de porta no Zoom Apps, no Zoom Client for Meetings para macOS Critical CVE-2022-28762

Severity: Critical

CVSS Score: 7.3

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

Description: Zoom Client for Meetings para macOS (Padrão e para administrador de TI), a partir da versão 5.10.6 e anterior à versão 5.12.0, contém uma depuração de configuração errada de porta. Quando o modo de câmera renderizar contexto está habilitado como parte do API de camadas do aplicativo Zoom, ao executar certos Zoom Apps, uma depuração local de porta é aberta pelo cliente Zoom. Um usuário local mal-intencionado poderia usar esta depuração de porta para se conectar ao Zoom Apps e controlá-lo executando no cliente Zoom.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings para macOS (Padrão e para administrador de TI) a partir da versão 5.10.6 e anterior à versão 5.12.0

Source: Relatado pela equipe de segurança do Zoom

ZSB-22022 10/11/2022 Implementações do Zoom no local: controle de acesso impróprio Critical CVE-2022-28761

Severity: Critical

CVSS Score: 6.5

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Description: O MMR conector de reunião local Zoom anterior à versão 4.8.20220916.131 contém uma vulnerabilidade de controle de acesso impróprio. Como resultado, um ator mal-intencionado em uma reunião ou webinar em que ele está autorizado a ingressar, pode impedir que participantes recebam áudio e vídeo, causando interferências na reunião.

Para as implantações no local do Zoom, os administradores de TI podem ajudar a manter o software Zoom atualizado ao seguir isto: https://support.zoom.us/hc/en-us/articles/360043960031

Affected Products:

  • MMR conector de reunião local Zoom anterior à versão 4.8.20220916.131

Source: Relatado pela equipe de segurança ofensiva Zoom

ZSB-22021 09/13/2022 Implementações do Zoom no local: controle de acesso impróprio Critical CVE-2022-28760

Severity: Critical

CVSS Score: 6.5

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Description: O MMR conector de reunião local Zoom anterior à versão 4.8.20220815.130 contém uma vulnerabilidade de controle de acesso impróprio. Como resultado, um ator mal-intencionado pode ingressar em uma reunião na qual eles estão autorizados a acessar, sem aparecer para os outros participantes.

Para as implantações no local do Zoom, os administradores de TI podem ajudar a manter o software Zoom atualizado ao seguir isto: https://support.zoom.us/hc/en-us/articles/360043960031

Affected Products:

  • MMR conector de reunião local Zoom anterior à versão 4.8.20220815.130

Source: Relatado pela equipe de segurança ofensiva Zoom

ZSB-22020 09/13/2022 Implementações do Zoom no local: controle de acesso impróprio Critical CVE-2022-28758
CVE-2022-28759

Severity: Critical

CVSS Score: 8.2

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Description: O MMR conector de reunião local Zoom anterior à versão 4.8.20220815.130 contém uma vulnerabilidade de controle de acesso impróprio. Como resultado, um ator mal-intencionado poderia obter o feed de áudio e vídeo de uma reunião à qual ele não estava autorizado a acessar e causar outras interferências na reunião.

Para as implantações no local do Zoom, os administradores de TI podem ajudar a manter o software Zoom atualizado ao seguir isto: https://support.zoom.us/hc/en-us/articles/360043960031

Affected Products:

  • MMR conector de reunião local Zoom anterior à versão 4.8.20220815.130

Source: Relatado pela equipe de segurança do Zoom

ZSB-22019 08/17/2022 Escalação de privilégio local no atualizador automático para Zoom Client for Meetings para macOS Critical CVE-2022-28757

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: O Zoom Client for Meetings para macOS (padrão e para administrador de TI) a partir da versão 5.7.3 e anterior à versão 5.11.6, contém uma vulnerabilidade no processo de atualização automática. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade para escalar seus privilégios até a raiz.

Observação: Este problema permite ignorar a correção lançada na versão 5.11.5 para resolver o CVE-2022-28756.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • O Zoom Client for Meetings para macOS (padrão e para administrador de TI) a partir da versão 5.7.3 e anterior à versão 5.11.6

Source: Reportado por Csaba Fitzl (theevilbit) da Offensive Security

ZSB-22018 08/13/2022 Escalação de privilégio local no atualizador automático para produtos Zoom macOS [Updated 2022-09-13] Critical CVE-2022-28756

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: O Zoom Client for Meetings para macOS (padrão e para administrador de TI) a partir da versão 5.7.3 e anterior à versão 5.11.5 e Zoom Rooms para sala de conferência para macOS anterior à versão 5.11.6 contém uma vulnerabilidade no processo de atualização automática. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade para escalar seus privilégios até a raiz.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

*Alterações - 2022-09-13 - título e descrição atualizados e incluído Zoom Room na seção "Produtos Afetados".

Affected Products:

  • Zoom Client for Meetings para macOS (Padrão e para administrador de TI) a partir da versão 5.7.3 e anterior à versão 5.11.5
  • Zoom Rooms para sala de conferência para macOS anterior à versão 5.11.6

Source: Relatado por Patrick Wardle da Objective-See

ZSB-22017 08/09/2022 Escalação de privilégio local no Zoom Client for Meetings para macOS Critical CVE-2022-28751

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: O Zoom Client for Meetings para MacOS (Padrão e para administrador de TI) anterior à versão 5.11.3 contém uma vulnerabilidade na validação da assinatura do pacote durante o processo de atualização. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade para escalar seus privilégios até a raiz.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings para MacOS (Padrão e para administrador de TI) anterior à versão 5.11.3

Source: Relatado por Patrick Wardle da Objective-See

ZSB-22014 08/09/2022 Implementações do Zoom no local: controle de acesso impróprio Critical CVE-2022-28753
CVE-2022-28754

Severity: Critical

CVSS Score: 7.1

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N

Description: O MMR conector de reunião local Zoom anterior à versão 4.8.129.20220714 contém uma vulnerabilidade de controle de acesso impróprio. Como resultado, um ator mal-intencionado pode ingressar em uma reunião na qual ele está autorizado a acessar, sem aparecer para os outros participantes, pode autorizar a si mesmo entrar na reunião a partir da sala de espera, pode se tornar anfitrião e causar outras interferências na reunião.

Para as implantações no local do Zoom, os administradores de TI podem ajudar a manter o software Zoom atualizado ao seguir isto: https://support.zoom.us/hc/en-us/articles/360043960031

Affected Products:

  • MMR conector de reunião local Zoom anterior à versão 4.8.129.20220714

Source: Relatado pela equipe de segurança ofensiva Zoom

ZSB-22016 08/09/2022 Análise inadequada do URL nos Zoom clients [Updated 2022-10-24] Critical CVE-2022-28755

Severity: Critical

CVSS Score: 9.6

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Description: O Zoom Client for Meetings (para Android, iOS, Linux, macOS, e Windows) anterior à versão 5.11.0 é suscetível a vulnerabilidade de análise de URL. Se um URL de reunião mal-intencionado do Zoom for aberto, o link mal-intencionado pode direcionar o usuário para se conectar a um endereço de rede arbitrário, levando a ataques adicionais, incluindo uma possível execução remota de código através da execução de executáveis de caminhos arbitrários.

*Alterações - 24-10-2022 - Incluído Zoom Rooms na seção "Produtos Afetados".

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings (para Android, iOS, Linux, macOS, e Windows) anterior à versão 5.11.0
  • Cliente de reunião Zoom VDI Windows anterior à versão 5.10.7
  • Zoom Rooms para Sala de Conferência (para Android, iOS, Linux, macOS e Windows) anterior à versão 5.11.0

Source: Relatado pela equipe de segurança do Zoom

ZSB-22013 08/09/2022 Escalação de privilégio local no Zoom Rooms para o Windows client Critical CVE-2022-28752

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Zoom Rooms para salas de conferência para Windows anterior à versão 5.11.0 estão suscetíveis à vulnerabilidade de escalação de privilégio local. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade para escalar seus privilégios até a raiz.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Zoom Rooms para sala de conferência para Windows anterior à versão 5.11.0

Source: Relatado por sim0nsecurity

ZSB-22012 08/09/2022 Implementações no local do Zoom: estouro de pilha de buffer no conector de reunião Critical CVE-2022-28750

Severity: Critical

CVSS Score: 7.5

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Description: Controlador de Zona (ZC) do conector de reunião local Zoom anterior à versão 4.8.20220419.112 falha em analisar de forma adequada códigos de erro STUN, que podem resultar na corrupção da memória e pode permitir um ator mal-intencionado a travar o aplicativo. Em versões anteriores à 4.8.12.20211115, esta vulnerabilidade também pode ser aproveitada para executar códigos arbitrários.

Para as implantações no local do Zoom, os administradores de TI podem ajudar a manter o software Zoom atualizado ao seguir esta orientação:
https://support.zoom.us/hc/en-us/articles/360043960031

Affected Products:

  • Controlador de zona (ZC) do conector de reunião local Zoom anterior à versão 4.8.20220419.112

Source: Relatado pela equipe de segurança ofensiva Zoom

ZSB-22011 06/14/2022 Conferência de autorização insuficiente durante acesso à reunião Critical CVE-2022-28749

Severity: Critical

CVSS Score: 6.5

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Description: O MMR conector de reunião local Zoom, anterior à versão 4.8.113.20220526 falha em conferir adequadamente as permissões do participante de uma reunião Zoom. O resultado é que o usuário que seja uma ameaça, aguardando na sala de espera do Zoom, pode ingressar na reunião sem o consentimento do anfitrião.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Conectores de reunião local anteriores à versão 4.8.113.20220526

Source: Relatado pela equipe de segurança ofensiva Zoom

ZSB- 22010 06/14/2022 Injeção de DLL no instalador do Zoom Opener para Zoom client e equipamentos para Zoom Rooms Critical CVE-2022-22788

Severity: Critical

CVSS Score: 7.1

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

Description: O instalador do Zoom Opener é baixado por um usuário na página de inicialização da reunião quando ele tenta ingressar em uma reunião sem ter o client do Zoom Meeting instalado. Os instaladores do Zoom Opener para Zoom Client for Meeting anterior à versão 5.10.3 e para Zoom Rooms para sala de conferência para Windows anterior à versão 5.10.3 estão suscetíveis a ataque de injeção de DLL. Essa vulnerabilidade poderia ser usada para executar um código arbitrário no host da vítima.

Os usuários podem se proteger removendo versões antigas do instalador do Zoom Opener e executando a versão mais recente do instalador do Zoom Opener, ao clicar no botão "Baixar agora" na página "Iniciar reunião". Os usuários também podem se proteger ao baixar o software mais recente do Zoom com todas as atualizações de segurança, de https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings para Windows anterior à versão 5.10.3
  • Todos os Zoom Rooms para sala de conferência para Windows anteriores à versão 5.10.3

Source: Reportado por James Tsz Ko Yeung

ZSB-22009 05/17/2022 Validação insuficiente do nome do host durante a troca de server no Zoom Client for Meetings Critical CVE-2022-22787

Severity: Critical

CVSS Score: 5.9

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Description: O Zoom Client for Meetings (para Android, iOS, Linux, macOS e Windows) antes da versão 5.10.0 não consegue validar o nome do host durante uma solicitação de troca de servidor adequadamente. Esse problema pode ser usado em um ataque mais sofisticado para enganar o cliente de um usuário inocente a conectar-se a um servidor malicioso ao tentar usar os serviços Zoom.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • O Zoom Client for Meetings (para Android, iOS, Linux, macOS, e Windows) anterior à versão 5.10.0

Source: Relatado por Ivan Fratric do Google Project Zero

ZSB-22008 05/17/2022 Downgrade de pacote de atualização no Zoom Client for Meetings para Windows Critical CVE-2022-22786

Severity: Critical

CVSS Score: 7.5

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Description: O Zoom Client for Meetings para Windows antes da versão 5.10.0 e o Zoom Rooms para sala de conferência para Windows antes da versão 5.10.0 falham ao verificar adequadamente a versão de instalação durante o processo de atualização. Esse problema poderia ser usado em um ataque mais sofisticado para fazer com que o usuário faça o downgrade do cliente Zoom para uma versão menos segura.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Todos os Zoom Client for Meetings para Windows em versões anteriores a 5.10.0
  • Todos os Zoom Rooms para sala de conferência para Windows anteriores à versão 5.10.0

Source: Relatado por Ivan Fratric do Google Project Zero

ZSB-22007 05/17/2022 Cookies de sessão indevidamente limitados no Zoom Client for Meetings Critical CVE-2022-22785

Severity: Critical

CVSS Score: 5.9

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Description: O Zoom Client for Meetings (para Android, iOS, Linux, macOS e Windows) antes da versão 5.10.0 falha ao limitar os cookies de sessão do cliente adequadamente aos domínios da Zoom. Esse problema poderia ser usado em um ataque mais sofisticado para enviar os cookies de sessão do Zoom de um usuário para um domínio que não pertença à Zoom. Isso potencialmente permitiria que alguém imitasse um usuário do Zoom.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • O Zoom Client for Meetings (para Android, iOS, Linux, macOS, e Windows) anterior à versão 5.10.0

Source: Relatado por Ivan Fratric do Google Project Zero

ZSB- 22006 05/17/2022 Análise indevida de XML no Zoom Client for Meetings Critical CVE-2022-22784

Severity: Critical

CVSS Score: 8.1

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Description: O Zoom Client for Meetings (para Android, iOS, Linux, macOS e Windows) antes da versão 5.10.0 falha ao analisar adequadamente estrofes de XML em mensagens XMPP. Isso pode permitir que um usuário malicioso saia do contexto atual de mensagens XMPP e crie um novo contexto de mensagem para que o cliente de um usuário execute uma variedade de ações. Esse problema poderia ser usado em um ataque mais sofisticado para forjar mensagens XMPP do servidor.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • O Zoom Client for Meetings (para Android, iOS, Linux, macOS, e Windows) anterior à versão 5.10.0

Source: Relatado por Ivan Fratric do Google Project Zero

ZSB- 22005 04/27/2022 Exposição da memória do processo nos serviços de reunião local Zoom Critical CVE-2022-22783

Severity: Critical

CVSS Score: 8.3

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/CR:H

Description: Uma vulnerabilidade no controlador do conector de reunião local Zoom versão 4.8.102.20220310 e no MMR conector de reunião local Zoom 4.8.102.20220310 expõe fragmentos de memória de processamento aos clientes conectados, o que pode ser observado por um invasor passivo.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança.

Affected Products:

  • Controlador do conector de reunião local Zoom versão 4.8.102.20220310
  • MMR conector de reunião local Zoom anterior à versão 4.8.102.20220310

Source: Equipe de segurança ofensiva Zoom

ZSB-22004 04/27/2022 Escalação de privilégio local nos Zoom Clients do Windows Critical CVE-2022-22782

Severity: Critical

CVSS Score: 7.9

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

Description: O Zoom Client for Meetings do Windows anterior à versão 5.9.7, o Zoom Rooms para sala de conferência do Windows anterior à versão 5.10.0, os plugins Zoom para Microsoft Outlook do Windows anterior à versão 5.10.3 e os Clientes de Reunião Zoom VDI Windows anteriores à versão 5.9.6 eram suscetíveis a um problema de escalação de privilégios durante a operação de reparo do instalador. Um ator mal-intencionado poderia usar isso para potencialmente excluir arquivos ou pastas no nível do sistema, causando problemas de integridade ou disponibilidade na máquina host do usuário.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings para Windows anterior à versão 5.9.7
  • Todos os Zoom Rooms para sala de conferência para Windows anteriores à versão 5.10.0
  • Todos os plugins Zoom para Microsoft Outlook do Windows anteriores à versão 5.10.3
  • Todos os Clientes de reunião Zoom VDI Windows anteriores à versão 5.9.6

Source: Relatado por meio da Iniciativa Dia Zero

ZSB-22003 04/27/2022 Downgrade de pacote de atualização no Zoom Client for Meetings para macOS Critical CVE-2022-22781

Severity: Critical

CVSS Score: 7.5

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Description: O Zoom Client for Meetings para macOS (Padrão e para Administrador de TI) anterior à versão 5.9.6 falhava na verificação adequada da versão do pacote durante o processo de atualização. Isso poderia fazer com que um ator mal-intencionado atualizasse a versão atualmente instalada de um usuário inocente para uma versão menos segura.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Todos os Zoom Client for Meetings para macOS (Padrão e para Administrador de TI) anteriores à versão 5.9.6

Source: Relatado por Patrick Wardle da Objective-See

ZSB-22002 02/08/2022 Zoom Team Chat suscetível a bomba zip/de descompressão Critical CVE-2022-22780

Severity: Critical

CVSS Score: 4.7

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L

Description: A funcionalidade do chat do Zoom Client for Meetings estava suscetível a ataques de bomba zip nas seguintes versões de produtos: Android em versões anteriores a 5.8.6, iOS em versões anteriores a 5.9.0, Linux em versões anteriores a 5.8.6, macOS em versões anteriores a 5.7.3, e Windows em versões anteriores a 5.6.3. Isso pode levar a problemas com disponibilidade no anfitrião do client, causando exaustão nos recursos do sistema.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Todos Zoom Client for Meetings para Android em versões anteriores a 5.8.6
  • Todos Zoom Client for Meetings para iOS em versões anteriores a 5.9.0
  • Todos Zoom Client for Meetings para Linux em versões anteriores a 5.8.6
  • Todos Zoom Client for Meetings para macOS em versões anteriores a 5.7.3
  • Todos Zoom Client for Meetings para Windows em versões anteriores a 5.6.3

Source: Comunicado por Johnny Yu da Walmart Global Tech

ZSB-22001 02/08/2022 Mensagens expandidas retidas no Keybase Clients para macOS e Windows Critical CVE-2022-22779

Severity: Critical

CVSS Score: 3.7

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Description: O Keybase Clients para macOS e Windows em versões anteriores a 5.9.0 não consegue remover adequadamente mensagens expandidas iniciadas por um usuário. Isso pode ocorrer se o destinatário mudar para um recurso sem chat, e colocar o anfitrião em estado de descanso antes que o remetente expanda as mensagens. Isso pode levar a divulgação de informações confidenciais, que deveriam ser apagadas do sistema de arquivos do usuário.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente da Keybase com todas as atualizações de segurança em https://keybase.io/download.

Affected Products:

  • Todos Keybase Clients para macOS e Windows em versões anteriores a 5.9.0

Source: Reportado por Olivia O'Hara

ZSB-21022 12/14/2021 Comando de execução arbitrária no Cliente Keybase para Windows Critical CVE-2021-34426

Severity: Critical

CVSS Score: 5.3

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

Description: Uma vulnerabilidade foi descoberta no Cliente Keybase para Windows anterior à versão 5.6.0, quando um usuário executa o comando "keybase git lfs-config" na linha de comando. Nas versões anteriores à 5.6.0, um usuário mal-intencionado com acesso de gravação a um repositório Git do usuário, poderia aproveitar essa vulnerabilidade para possivelmente executar comandos arbitrários do Windows no sistema local de um usuário.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente da Keybase com todas as atualizações de segurança em https://keybase.io/download.

Affected Products:

  • Todos Clientes Keybase para Windows anteriores à versão 5.6.0

Source: Relatado pela RyotaK

ZSB-21021 12/14/2021 Falsificação de solicitação do lado do servidor no chat do Zoom Client for Meetings Critical CVE-2021-34425

Severity: Critical

CVSS Score: 4.7

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N

Description: O Zoom Client for Meetings anterior à versão 5.7.3 (para Android, iOS, Linux, macOS, e Windows) contém uma vulnerabilidade de falsificação de solicitação do lado do servidor na funcionalidade "link preview" do chat. Nas versões anteriores à 5.7.3, caso um usuário fosse habilitar o recurso "link preview" do chat, um usuário mal-intencionado poderia enganar o usuário para, possivelmente, enviar solicitações arbitrárias HTTP GET para URLs que o usuário não pode acessar diretamente.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Todos Zoom Client for Meetings (para Android, iOS, Linux, macOS, e Windows) anteriores à versão 5.7.3

Source: Comunicado por Johnny Yu da Walmart Global Tech

ZSB-21020 11/24/2021 Exposição da memória do processo no Zoom Client e outros produtos Critical CVE-2021-34424

Severity: Critical

CVSS Score: 5.3

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Description: Uma vulnerabilidade foi descoberta nos produtos listados na seção "Produtos Afetados" desse boletim que possivelmente permitiu a exposição do estado da memória do processo. Essa falha poderia ser usada para possivelmente ganhar insight em áreas arbitrárias da memória do produto.

O Zoom resolveu esse problema nas versões mais recentes dos produtos listados na seção abaixo. Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança.

Affected Products:

  • Zoom Client for Meetings (para Android, iOS, Linux, macOS, e Windows) anterior à versão 5.8.4
  • Zoom Client for Meetings para Blackberry (para Android e iOS) anterior à versão 5.8.1
  • Zoom Client for Meetings para intune (para Android e iOS) anterior à versão 5.8.4
  • Zoom Client for Meetings para Chrome OS anterior à versão 5.0.1
  • Zoom Rooms para sala de conferência (para Android, AndroidBali, macOS, e Windows) anterior à versão 5.8.3
  • Controladores para Zoom Rooms (para Android, iOS, e Windows) anterior à versão 5.8.3
  • Cliente de reunião Zoom VDI Windows anterior à versão 5.8.4
  • Zoom VDI Azure Virtual Desktop Plugins (para Windows x86 ou x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) anterior à versão 5.8.4.21112
  • Zoom VDI Citrix Plugins (para Windows x86 ou x64, Instalador e Desinstalador Universal Mac, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) anterior à versão 5.8.4.21112
  • Zoom VDI VMware Plugins (para Windows x86 ou x64, Instalador e Desinstalador Universal Mac, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) anterior à versão 5.8.4.21112
  • Zoom Meeting SDK para Android anterior à versão 5.7.6.1922
  • Zoom Meeting SDK para iOS anterior à versão 5.7.6.1082
  • Zoom Meeting SDK para Windows anterior à versão 5.7.6.1081
  • Zoom Meeting SDK para Mac anterior à versão 5.7.6.1340
  • Zoom Video SDK (para Android, iOS, macOS, e Windows) anterior à versão 1.1.2
  • Conector de reunião local Zoom anterior à versão 4.8.12.20211115
  • MMR conector de reunião local Zoom anterior à versão 4.8.12.20211115
  • Conector de gravação local Zoom anterior à versão 5.1.0.65.20211116
  • Conector de sala virtual local Zoom anterior à versão 4.4.7266.20211117
  • Balanceador de carga de sala virtual local Zoom anterior à versão 2.5.5692.20211117
  • Zoom Hybrid Zproxy anterior à versão 1.0.1058.20211116
  • Zoom Hybrid MMR anterior à versão 4.6.20211116.131_x86-64

Source: Comunicado por Natalie Silvanovich do Google Project Zero

ZSB-21019 11/24/2021 Buffer Overflow no Zoom Client e outros produtos Critical CVE-2021-34423

Severity: Critical

CVSS Score: 7.3

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Description: Uma vulnerabilidade de buffer overflow foi descoberta nos produtos listados na seção "Produtos Afetados" desse boletim. Isso pode possivelmente permitir que um usuário mal-intencionado trave o serviço ou aplicativo ou aproveite essa vulnerabilidade para executar um código arbitrário.

O Zoom resolveu esse problema nas versões mais recentes dos produtos listados na seção abaixo. Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança.

Affected Products:

  • Zoom Client for Meetings (para Android, iOS, Linux, macOS, e Windows) anterior à versão 5.8.4
  • Zoom Client for Meetings para Blackberry (para Android e iOS) anterior à versão 5.8.1
  • Zoom Client for Meetings para intune (para Android e iOS) anterior à versão 5.8.4
  • Zoom Client for Meetings para Chrome OS anterior à versão 5.0.1
  • Zoom Rooms para sala de conferência (para Android, AndroidBali, macOS, e Windows) anterior à versão 5.8.3
  • Controladores para Zoom Rooms (para Android, iOS, e Windows) anterior à versão 5.8.3
  • Cliente de reunião Zoom VDI Windows anterior à versão 5.8.4
  • Zoom VDI Azure Virtual Desktop Plugins (para Windows x86 ou x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) anterior à versão 5.8.4.21112
  • Zoom VDI Citrix Plugins (para Windows x86 ou x64, Instalador e Desinstalador Universal Mac, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) anterior à versão 5.8.4.21112
  • Zoom VDI VMware Plugins (para Windows x86 ou x64, Instalador e Desinstalador Universal Mac, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) anterior à versão 5.8.4.21112
  • Zoom Meeting SDK para Android anterior à versão 5.7.6.1922
  • Zoom Meeting SDK para iOS anterior à versão 5.7.6.1082
  • Zoom Meeting SDK para macOS anterior à versão 5.7.6.1340
  • Zoom Meeting SDK para Windows anterior à versão 5.7.6.1081
  • Zoom Video SDK (para Android, iOS, macOS, e Windows) anterior à versão 1.1.2
  • Controlador do conector de reunião local Zoom anterior à versão 4.8.12.20211115
  • MMR conector de reunião local Zoom anterior à versão 4.8.12.20211115
  • Conector de gravação local Zoom anterior à versão 5.1.0.65.20211116
  • Conector de sala virtual local Zoom anterior à versão 4.4.7266.20211117
  • Balanceador de carga de sala virtual local Zoom anterior à versão 2.5.5692.20211117
  • Zoom Hybrid Zproxy anterior à versão 1.0.1058.20211116
  • Zoom Hybrid MMR anterior à versão 4.6.20211116.131_x86-64

Source: Fonte: Comunicado por Natalie Silvanovich do Google Project Zero

ZSB-21018 11/09/2021 Ataque de Passagem [Path Traversal] de nomes de arquivos no Cliente Keybase para Windows Critical CVE-2021-34422

Severity: Critical

CVSS Score: 7.2

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

Description: Os Clientes Keybase para Windows anteriores à versão 5.7.0 contêm uma vulnerabilidade de path traversal [ataque de passagem] ao verificar o nome de um arquivo carregado para uma pasta de equipe. Um usuário mal-intencionado poderia carregar um arquivo para uma pasta compartilhada com um nome de arquivo especialmente elaborado que poderia permitir a um usuário executar um aplicativo que não estava previsto na máquina host. Se um usuário mal-intencionado aproveitasse essa falha com o recurso de compartilhamento da pasta pública do Cliente Keybase, isso poderia levar a execução de código remota.

A Keybase resolveu essa falha na versão 5.7.0 do Cliente Keybase para Windows. Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente da Keybase com todas as atualizações de segurança em https://keybase.io/download.

Affected Products:

  • Cliente Keybase para Windows anterior à versão 5.7.0

Source: Comunicado por m4t35z

ZSB-21017 11/09/2021 Mensagens expandidas retidas nos Clientes Keybase para Android e iOS Critical CVE-2021-34421

Severity: Critical

CVSS Score: 3.7

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Description: O Cliente Keybase para Android anterior à versão 5.8.0 e o Cliente Keybase para iOS anterior à versão 5.8.0 não conseguem remover adequadamente as mensagens expandidas iniciadas por um usuário, se o usuário destinatário posiciona a sessão de chat no plano de fundo enquanto o remetente expande as mensagens. Isso poderia levar a divulgação de informações confidenciais que deveriam ser apagadas do dispositivo do cliente.

A Keybase resolveu essa falha nas versões 5.8.0 do Cliente Keybase para Android e 5.8.0 do Cliente Keybase para iOS. Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente da Keybase com todas as atualizações de segurança em https://keybase.io/download.

Affected Products:

  • Todos Clientes Keybase para Android anteriores à versão 5.8.0
  • Todos Clientes Keybase para iOS anteriores à versão 5.8.0

Source: Comunicado por Olivia O'Hara, John Jackson, Jackson Henry e Robert Willis

ZSB-21016 11/09/2021 Bypass da assinatura executável da instalação do Zoom Windows Critical CVE-2021-34420

Severity: Critical

CVSS Score: 4.7

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N

Description: O instalador do Zoom Client for Meetings para Windows anterior à versão 5.5.4 não verifica adequadamente a assinatura dos arquivos com extensões .msi, .ps1 e .bat. Isso poderia permitir que um usuário mal-intencionado instalasse um software mal-intencionado no computador do cliente.

O Zoom resolveu esse problema na versão 5.5.4 do Zoom Client for Meetings para Windows. Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Todos Zoom Client for Meetings para Windows anteriores à versão 5.5.4

Source: Comunicado por Laurent Delosieres da ManoMano

ZSB-21015 11/09/2021 Injeção HTML no Zoom Linux Client Critical CVE-2021-34419

Severity: Critical

CVSS Score: 3.7

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

Description: No Zoom Client for Meetings para Ubuntu Linux nas versões anteriores à 5.1.0, há uma falha da injeção de HTML ao enviar uma solicitação de controle remoto para um usuário no processo de compartilhamento de tela, durante uma reunião. Isso poderia permitir que os participantes da reunião fossem alvos de ataques de engenharia social.

O Zoom resolveu esse problema na versão 5.1.0 do Zoom Client for Meetings para Ubuntu Linux. Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download

Affected Products:

  • Zoom Client for Meetings para Ubuntu Linux anterior à versão 5.1.0

Source: Comunicado por Danny de Weille e Rick Verdoes da hackdefense

ZSB-21014 11/09/2021 Travamento Pre-auth Null no web console local Critical CVE-2021-34418

Severity: Critical

CVSS Score: 4.0

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Description: O serviço de login do web console para os produtos listados na seção "Produtos Afetados" deste boletim, falha ao validar que um bit NULL foi enviado ao fazer a autenticação. Isso poderia levar ao travamento do serviço de login.

Affected Products:

  • Controlador do conector de reunião local Zoom anterior à versão 4.6.239.20200613
  • MMR Conector de reunião local Zoom anterior à versão 4.6.239.20200613
  • Conector de gravação local Zoom anterior à versão 3.8.42.20200905
  • Conector de sala virtual local Zoom anterior à versão 4.4.6344.20200612
  • Balanceador de carga do conector de sala virtual local Zoom anterior à versão 2.5.5492.20200616

Source: Comunicado por Jeremy Brown

ZSB-21013 11/09/2021 Execução de comando remoto autenticado com privilégios de raiz por meio do web console no MMR Critical CVE-2021-34417

Severity: Critical

CVSS Score: 7.9

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N

Description: A página proxy da rede no web portal para os produtos listados na seção "Produtos Afetados" deste boletim, falha ao validar envio de entrada em solicitações para definir a senha da rede proxy. Isso poderia levar a uma injeção de comando remota por um administrador do web portal.

Affected Products:

  • Controlador de conector de reunião local Zoom, anterior à versão 4.6.365.20210703
  • MMR conector de reunião local Zoom anterior à versão 4.6.365.20210703
  • Conector de gravação local Zoom anterior à versão 3.8.45.20210703
  • Conector de sala virtual local Zoom anterior à versão 4.4.6868.20210703
  • Balanceador de carga de sala virtual local Zoom anterior à versão 2.5.5496.20210703

Source: Comunicado por Jeremy Brown

ZSB-21012 09/30/2021 Execução de código remoto contra imagens locais por meio do web portal Critical CVE-2021-34416

Severity: Critical

CVSS Score: 5.5

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N

Description: As configurações administrativas do endereço de rede do web portal para o Conector de reunião local Zoom anterior à versão 4.6.360.20210325, MMR Conector de reunião local Zoom anterior à versão 4.6.360.20210325, Conector de gravação local Zoom anterior à versão 3.8.44.20210326, Conector de sala virtual local Zoom anterior à versão 4.4.6752.20210326, e o Balanceador de carga do conector de sala virtual local Zoom anterior à versão 2.5.5495.20210326 falham ao validar entrada em solicitações para atualizar a configuração da rede, o que poderia levar a uma injeção de comando remoto na imagem local pelos administradores do web portal.

Affected Products:

  • Conector de reunião local Zoom, anterior à versão 4.6.360.20210325
  • MMR conector de reunião local Zoom anterior à versão 4.6.360.20210325
  • Conector de gravação local Zoom anterior à versão 3.8.44.20210326
  • Conector de sala virtual local Zoom anterior à versão 4.4.6752.20210326
  • Balanceador de carga de sala virtual local Zoom anterior à versão 2.5.5495.20210326

Source: Comunicado por Egor Dimitrenko da Positive Technologies

ZSB-21011 09/30/2021 ZC trava ao usar um PDU o que causa muitas alocações Critical CVE-2021-34415

Severity: Critical

CVSS Score: 7.5

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Description: O serviço Zone Controller no Controlador do conector de reunião local Zoom, anterior à versão 4.6.358.20210205 não verifica o campo cnt enviado em pacotes de rede recebidos, o que poderia levar ao esgotamento de recursos e travar o sistema.

Affected Products:

  • Controlador de conector de reunião local Zoom, anterior à versão 4.6.358.20210205

Source: Comunicado por Nikita Abramov da Positive Technologies

ZSB-21010 09/30/2021 Execução de código remoto contra o servidor do Conector de reunião por meio da configuração de proxy da rede do web portal Critical CVE-2021-34414

Severity: Critical

CVSS Score: 7.2

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Description: A página de proxy da rede no web portal para o Controlador de conector de reunião local Zoom, anterior à versão 4.6.348.20201217, MMR conector de reunião local Zoom anterior à versão 4.6.348.20201217, Conector de gravação local Zoom anterior à versão 3.8.42.20200905, Conector de sala virtual local Zoom anterior à versão 4.4.6620.20201110 e Balanceador de carga do conector de sala virtual local Zoom anterior à versão 2.5.5495.20210326, falha ao validar entrada enviada em solicitações para atualizar a configuração de proxy da rede, o que poderia levar a uma injeção de comando remoto na imagem local por um administrador do web portal.

Affected Products:

  • Controlador do conector de reunião local Zoom anterior à versão 4.6.348.20201217
  • MMR conector de reunião local Zoom anterior à versão 4.6.348.20201217
  • Conector de gravação local Zoom anterior à versão 3.8.42.20200905
  • Conector de sala virtual local Zoom anterior à versão 4.4.6620.20201110
  • Balanceador de carga de sala virtual local Zoom anterior à versão 2.5.5495.20210326

Source: Comunicado por Egor Dimitrenko da Positive Technologies

ZSB-21009 09/30/2021 Escalação de privilégio local do plugin do Zoom macOS Outlook Critical CVE-2021-34413

Severity: Critical

CVSS Score: 2.8

CVSS Vector String: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N

Description: Todas as versões do Zoom Plugin for Microsoft Outlook para macOS anteriores à versão 5.3.52553.0918 contêm uma vulnerabilidade Time-of-check Time-of-use [Tempo de Verificação até o Tempo de Uso] (TOC/TOU) durante o processo de instalação do plugin. Isso poderia permitir que qualquer usuário gravasse seu aplicativo mal-intencionado no diretório do plugin, permitindo que o aplicativo mal-intencionado fosse executado em um contexto privilegiado.

Affected Products:

  • Todas as versões do Zoom Plugin for Microsoft Outlook para macOS anteriores à versão 5.3.52553.0918

Source: Comunicado pela Lockheed Martin Red Team

ZSB-21008 09/30/2021 Escalação de privilégio local no instalador do Zoom para Windows Critical CVE-2021-34412

Severity: Critical

CVSS Score: 4.4

CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Description: Durante o processo de instalação de todas versões do Zoom Client for Meetings para Windows anteriores à versão 5.4.0, é possível executar o Internet Explorer. Se o instalador for executado com privilégios elevados, como SCCM, isso pode resultar em uma escalação de privilégio local.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings para Windows anterior à versão 5.4.0

Source: Comunicado pela Lockheed Martin Red Team

ZSB-21007 09/30/2021 Escalação de privilégio local no instalador do Zoom Rooms Critical CVE-2021-34411

Severity: Critical

CVSS Score: 4.4

CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Description: Durante o processo de instalação do Zoom Rooms para sala de conferência para Windows, anterior à versão 5.3.0 é possível executar o Internet Explores com privilégios elevados. Se o instalador for executado com privilégios elevados, como SCCM, isso pode resultar em uma escalação de privilégio local.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Zoom Rooms para sala de conferência para Windows anterior à versão 5.3.0
  • Clientes para Mac anteriores à versão 4.1.34475.1105
  • Zoom Rooms para conferência anterior à versão 5.1.0

Source: Comunicado pela Lockheed Martin Red Team

ZSB-21004 09/30/2021 Instalador do Zoom MSI com privilégio de gravação elevado usando uma junção Critical CVE-2021-34408

Severity: Critical

CVSS Score: 7.0

CVSS Vector String: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Description: Um diretório do usuário com privilégios de gravação criado durante a instalação do Zoom Client for Meetings para Windows, anterior à versão 5.3.2 pode ser redirecionado para outro local usando uma junção. Isso permitiria que um invasor sobrescrevesse arquivos que um usuário limitado, de outra maneira, não conseguiria modificar.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings para Windows anterior à versão 5.3.2

Source: Comunicado pela Lockheed Martin Red Team

ZSB-21003 09/30/2021 Bypass da assinatura executável do instalador do Windows Zoom Critical CVE-2021-33907

Severity: Critical

CVSS Score: 7.0

CVSS Vector String: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H/MPR:N/MUI:R/MS:U/MC:H/MI:H/MA:H

Description: O Zoom Client for Meetings para Windows em todas as versões anteriores à 5.3.0 não consegue validar adequadamente as informações do certificado usado para assinar arquivos .msi ao executar uma atualização do cliente. Isso poderia levar a uma injeção de comando remota em um contexto de privilégio elevado.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Todas as versões do Zoom Client for Meetings para Windows anteriores à versão 5.3.0

Source: Comunicado pela Lockheed Martin Red Team

ZSB-21002 08/13/2021 Heap overflow de um buffer estático de gravação não checada de mensagem XMPP Critical CVE-2021-30480

Severity: Critical

CVSS Score: 8.1

CVSS Vector String: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H

Description: Um heap overflow existe em todas as versões Desktop do Zoom Client for Meetings anteriores à versão 5.6.3. Esta descoberta foi comunicada à Zoom como parte do Pwn20wn Vancouver 2021. A corrente de ataque demonstrada durante o Pwn20wn foi mitigada em uma alteração lateral do servidor na infraestrutura do Zoom em 09-04-2021.

Quando combinado com dois outros problemas relatados durante o Pwn20wn, a validação inadequada do URL ao enviar uma mensagem XMPP para acessar um URL de aplicativo do Zoom Marketplace e a validação incorreta do URL ao exibir uma imagem GIPHY, um usuário mal-intencionado pode conseguir a execução de um código remoto em um computador alvo.
O alvo tem que ter aceito anteriormente uma Solicitação de Conexão do usuário mal-intencionado ou estar em um chat de multiusuários com o usuário mal-intencionado para que o ataque sema bem-sucedido. A corrente de ataque demonstrada no Pwn20wn pode ser bastante visível para os alvos, fazendo com que diversas notificações do cliente ocorram.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Todas as versões desktop do Zoom Client for Meetings anteriores à 5.6.3.

Source: Relatado por Daan Keuper e Thijs Alkemade da Computest por meio da Iniciativa Dia Zero.

ZSB-21001 03/26/2021 Funcionalidade de Compartilhamento de Tela da Janela do Aplicativo Critical CVE-2021-28133

Severity: Critical

CVSS Score: 5.7

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

Description: Uma vulnerabilidade afetou a funcionalidade de tela dos clientes Zoom Windows e Linux ao compartilhar janelas de aplicativo individuais, nas quais o conteúdo de tela dos aplicativos que não são compartilhados explicitamente pelos usuários de compartilhamento de tela, se o "compartilhador" estiver minimizando, maximizando ou fechando outra janela.

O Zoom apresentou diversas novas mitigações de segurança na versão 5.6 do Cliente Zoom Windows que reduzem a possibilidade desse problema ocorrer com usuários do Windows. Continuamos trabalhando em outras medidas para resolver este problema em todas as plataformas afetadas.

Em de 1º de março de 2021, o Zoom também resolveu o problema para os usuários do Ubuntu, na versão 5.5.4 do Zoom Linux Client. Os usuários podem aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Todas as versões do Cliente Windows Zoom
  • As versões do Cliente Linux Zoom anteriores à 5.5.4 no Unbuntu
  • Todas as versões do Cliente Linux em outras distribuições compatíveis

Source: Descoberto por Michael Stramez e Matthias Deeg.

ZSB-20002 08/14/2020 Windows DLL no Serviço de Compartilhamento do Zoom Critical CVE-2020-9767

Severity: Critical

CVSS Score: 7.8

CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Description: Uma vulnerabilidade relacionada à Dynamic-link Library ("DLL") carregada no Serviço de Compartilhamento do Zoom poderia permitir um usuário local do Windows a escalar privilégios para aqueles usuários do NT AUTHORITY/SYSTEM.

A vulnerabilidade acontece em razão de verificações de assinatura insuficientes de DLLs carregadas dinamicamente ao carregar um executável assinado. Um invasor poderia explorar essa vulnerabilidade ao injetar uma DLL maliciosa em um executável do Zoom assinado e usá-la para executar processos com permissões elevadas.

O Zoom resolveu esse problema na versão de cliente 5.0.4. Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Instalador do Zoom Windows (ZoomInstallerFull.msi) versões anteriores à 5.0.4

Source: Connor Scott da Context Information Security

ZSB-20001 05/04/2020 Instalador Zoom IT para Windows Critical CVE-2020-11443

Severity: Critical

CVSS Score: Base: 8.4

CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Description: Uma vulnerabilidade em como o instalador do Zoom Windows trata junções ao excluir arquivos poderia permitir um usuário local do Windows para excluir arquivos, que de outra forma, não poderia ser excluídos pelo usuário.

A vulnerabilidade é em razão de uma verificação insuficiente de junções no diretório no qual o instalador exclui arquivos, que é gravável por usuários padrão. Um usuário local mal-intencionado poderia explorar essa vulnerabilidade ao criar uma junção no diretório afetado que aponta para arquivos de sistema protegidos ou para outros arquivos para os quais o usuário não tem permissões. Após executar o instalador do Zoom para Windows com permissões elevadas, como é o caso quando ele é executado por meio de um software de implantação gerenciada, estes arquivos seriam excluídos do sistema.

O Zoom resolveu esse problema na versão 4.6.10 do cliente. Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • O instalador do Zoom para Windows (ZoomInstallerFull.msi) versões anteriores à 4.6.10

Source: Obrigado a Equipe Vermelha da Lockheed Martin.

ZSB-19003 07/12/2019 ZoomOpener daemon Critical CVE-2019-13567

Severity: Critical

CVSS Score: Base: 7.5

CVSS Vector String: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Description: Uma vulnerabilidade no cliente Zoom para macOS poderia permitir que um invasor baixasse um software mal-intencionado para o dispositivo da vítima.

A vulnerabilidade ocorre em razão de uma validação de entrada e validação de software baixado inadequada no aplicativo de ajuda do ZoomOpener Um invasor poderia explorar a vulnerabilidade para solicitar que o dispositivo da vítima baixasse arquivos em nome do invasor. Uma invasão bem-sucedida só será possível se a vítima tiver desinstalado anteriormente o Cliente Zoom.

O Zoom resolveu esse problema na versão 4.4.52595.0425 do cliente. Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • O cliente Zoom para macOS anterior à versão 4.4.52595.0425 e posterior à versão 4.1.27507.0627

Source: Desconhecido.

ZSB-19002 07/09/2019 Configuração Padrão de Vídeo Critical CVE-2019-13450

Severity: Critical

CVSS Score: Base: 3.1

CVSS Vector String: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

Description: Uma vulnerabilidade nos clientes Zoom e RingCentral para macOS poderia permitir que um invasor remoto e não autenticado a forçar um usuário a ingressar em uma chamada de vídeo com a câmera de vídeo ativa.

A vulnerabilidade acontece em função de controles de autorização insuficientes para verificar quais sistemas podem se comunicar com o servidor local Zoom Web sendo executado na porta 19421. Um invasor poderia explorar essa vulnerabilidade ao criar um site da web mal-intencionado que levaria o cliente Zoom a ingressar automaticamente em uma reunião organizada pelo invasor.

O Zoom implementou uma nova caixa de diálogo de Previsualização de Vídeo que é apresentada ao usuário antes dele entrar em uma reunião na versão 4.4.5 do Cliente, publicada em 14 de julho de 2019. Essa caixa de diálogo permite que o usuário ingresse na reunião com ou sem o vídeo habilitado e exige que o usuário defina o comportamento padrão para o vídeo. O Zoom sugere fortemente que os clientes instalem a versão mais recente do Cliente Zoom, disponível em https://zoom.us/download.

Affected Products:

  • Cliente Zoom para macOS anterior à versão 4.4.5
  • Cliente RingCentral para macOS anterior à versão 4.4.5

Source: Descoberta por Jonathan Leitschuh.

ZSB-19001 07/09/2019 Ataque de negação de serviço - macOS Critical CVE-2019-13449

Severity: Critical

CVSS Score: Base: 3.1

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Description: Uma vulnerabilidade nos clientes Zoom para macOS poderia permitir que um invasor remoto e não autenticado a disparar uma condição de negação de serviço no sistema de uma vítima.

A vulnerabilidade acontece em função de controles de autorização insuficientes para verificar quais sistemas podem se comunicar com o servidor local Zoom Web sendo executado na porta 19421. Um invasor poderia explorar essa vulnerabilidade ao criar um site da web mal-intencionado que levaria o cliente Zoom a tentar ingressar repetidamente em uma reunião com uma ID de reunião inválida. O loop infinito levaria o cliente Zoom a se tornar inoperante e pode impactar o desempenho do sistema no qual está sendo executado.

O Zoom lançou a versão 4.4.2-hotfix do cliente para macOS, em 28 de abril de 2019 para resolver o problema. Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Affected Products:

  • Cliente Zoom para macOS anterior à versão 4.4.5
  • Cliente RingCentral para macOS anterior à versão 4.4.5

Source: Descoberta por Jonathan Leitschuh.

No results found

Forneça o seu endereço de e-mail para receber notificações sobre os futuros Boletins de segurança do Zoom. (Observação: alias de e-mail não receberão estas notificações.)