TRUST CENTER SECURITY, PRIVACY BLOGS ADDITIONAL RESOURCES

Сводки по безопасности

Severity All
  • Severity All
  • High
  • Medium
  • Low
CVE All
  • CVE All
  • CVE-2021-28133
  • CVE-2020-9767
  • CVE-2020-11443
  • CVE-2019-13567
  • CVE-2019-13450
  • CVE-2019-13449
  • CVE-2018-15715
Search

Сводки по безопасности

ZSB Date Title Severity CVE (if applicable)
ZSB-21001 03/26/2020 Функция демонстрации экрана для окна приложения Средний CVE-2021-28133

Severity: Средний

CVSS Score: 5.7

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

Description: Из-за уязвимости была нарушена работа функции демонстрации экрана в клиентах Zoom для Windows и Linux при демонстрации окон отдельного приложения. Это проявляется в том, что содержимое экрана тех приложений, для которых демонстрирующий свой экран пользователь не давал четкой команды показывать их, может на мгновение стать видимым для других участников конференции в тот момент, когда демонстрирующий свой экран пользователь сворачивает, разворачивает или закрывает другое окно.

Внедрено несколько новых мер безопасности в клиент Zoom для Windows версии 5.6, что снижает вероятность возникновения проблем у пользователей Windows. Мы продолжаем работу над внедрением дополнительных мер для решения этой проблемы на всех платформах, для которых это актуально.

Компания Zoom также решила эту проблему для пользователей Ubuntu 1 марта 2020 года в клиенте Zoom для Linux версии 5.5.4. Пользователи могут применить текущие обновления или скачать новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Все версии Zoom Client для Windows
  • Версии Zoom Client для Linux до версии 5.5.4 на Ubuntu
  • Все версии клиента для Linux на других поддерживаемых дистрибутивах

Source: Обнаружено Майклом Страмезом (Michael Stramez) и Матиасом Дигом (Matthias Deeg).

ZSB-20002 08/14/2020 Windows DLL в сервисе обмена файлами Zoom Высокий CVE-2020-9767

Severity: Высокий

CVSS Score: 7.8

CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Description: Уязвимость, связанная с загрузкой Dynamic-link Library («DLL») в сервисе обмена файлами Zoom, могла позволить локальному пользователю Windows расширять полномочия пользователя NT AUTHORITY/SYSTEM.

Уязвимость обусловлена недостаточными проверками подписей динамически загруженных DLL при загрузке исполняемого модуля с подписью. Злоумышленник мог использовать эту уязвимость, введя вредоносную DLL в исполняемый модуль Zoom и с ее помощью запустить процессы с расширенными полномочиями.

Компания Zoom решила эту проблему в версии клиента 5.0.4. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Версии установщика Zoom для Windows (ZoomInstallerFull.msi) до 5.0.4

Source: Коннор Скотт (Connor Scott) из службы безопасности контекстной информации

ZSB-20001 05/04/2020 IT-установщик Zoom для Windows Высокий CVE-2020-11443

Severity: Высокий

CVSS Score: Базовый: 8.4

CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Description: Из-за уязвимости в способе обработки установщиком Zoom для Windows соединений при удалении файлов локальный пользователь Windows мог удалять те файлы, которые обычно не удаляются пользователем.

Уязвимость обусловлена недостаточной проверкой соединений в каталоге, из которого установщик удаляет файлы и который доступен для записи данных стандартными пользователями. Злонамеренный локальный пользователь мог использовать эту уязвимость, создав в уязвимом каталоге соединение, ведущее к защищенным системным или другим файлам, на изменение которых пользователь не имеет прав. После запуска установщика Zoom для Windows с расширенными правами, как в случае его запуска через управляемое программное обеспечение развертывания, эти файлы удаляются из системы.

Компания Zoom решила эту проблему в версии клиента 4.6.10. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Версии установщика Zoom для Windows (ZoomInstallerFull.msi) до 4.6.10

Source: Благодаря группе тестирования внешних угроз компании Lockheed Martin.

ZSB-19003 07/12/2019 Служебный процесс ZoomOpener Высокий CVE-2019-13567

Severity: Высокий

CVSS Score: Базовый: 7.5

CVSS Vector String: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Description: Из-за уязвимости в клиенте Zoom для MacOS злоумышленник мог закачать вредоносное программное обеспечение на устройство жертвы.

Уязвимость обусловлена ненадлежащей проверкой ввода и загруженного программного обеспечения во вспомогательном приложении ZoomOpener. Злоумышленник, используя эту уязвимость, мог инициировать загрузку файлов устройством жертвы в интересах злоумышленника. Успешное использование этой уязвимости возможно только в том случае, если жертва ранее удалила Zoom Client.

Компания Zoom решила эту проблему в версии клиента 4.4.52595.0425. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Клиент Zoom для MacOS до версии 4.4.52595.0425 и после версии 4.1.27507.0627

Source: Неизвестно.

ZSB-19002 07/09/2019 Настройка видео по умолчанию Низкий CVE-2019-13450

Severity: Низкий

CVSS Score: Базовый: 3.1

CVSS Vector String: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

Description: Из-за уязвимости в клиентах Zoom и RingCentral для MacOS дистанционный неаутентифицированный злоумышленник мог принудить пользователя присоединиться к видеозвонку с включенной видеокамерой.

Уязвимость связана с недостаточным контролем авторизации для проверки систем, которые могут обмениваться данными с локальным веб-сервером Zoom, работающим через порт 19421. Злоумышленник, используя эту уязвимость, мог создать вредоносный веб-сайт, из-за деятельности которого Zoom Client принудительно автоматически присоединяется к конференции, организованной злоумышленником.

Добавлено новое диалоговое окно предварительного просмотра видео, которое появляется для просмотра пользователем перед присоединением к конференции в версии клиента 4.4.5, опубликованной 14 июля 2019 года. Это диалоговое окно позволяет пользователю включить или выключить видео при присоединении к конференции и предполагает настройку пользователем необходимых параметров по умолчанию для видео. Компания Zoom призывает пользователей установить самую новую версию Zoom Client, доступную на странице https://zoom.us/download.

Affected Products:

  • Клиент Zoom для MacOS до версии 4.4.5
  • Клиент RingCentral для MacOS до версии 4.4.5

Source: Обнаружено Джонатаном Лайтшу (Jonathan Leitschuh).

ZSB-19001 07/09/2019 Поражение, приводящее к прекращению работы Низкий CVE-2019-13449

Severity: Низкий

CVSS Score: Базовый: 3.1

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Description: Из-за уязвимости в Zoom Client для MacOS дистанционный неаутентифицированный злоумышленник мог инициировать прекращение работы в системе жертвы.

Уязвимость связана с недостаточным контролем авторизации для проверки систем, которые могут обмениваться данными с локальным веб-сервером Zoom, работающим через порт 19421. Злоумышленник, используя эту уязвимость, мог создать вредоносный веб-сайт, из-за деятельности которого Zoom Client постоянно пытается присоединиться к конференции с недействительным идентификатором конференции. Бесконечный цикл приводит к потере работоспособности Zoom Client и может повлиять на производительность системы, на которой он работает.

Для решения этой проблемы компания Zoom выпустила версию клиента для MacOS 4.4.2-hotfix 28 апреля 2019 года.

Affected Products:

  • Клиент Zoom для MacOS до версии 4.4.5
  • Клиент RingCentral для MacOS до версии 4.4.5

Source: Обнаружено Джонатаном Лайтшу (Jonathan Leitschuh).

ZSB-18001 11/30/2018 Несанкционированная обработка сообщений Высокий CVE-2018-15715

Severity: Высокий

CVSS Score: 7.4

CVSS Vector String: AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:L/CR:X/IR:H/AR:H/MAV:X/MAC:X/MPR:X/MUI:X/MS:X/MC:X/MI:X/MA:X

Description: Из-за уязвимости в Zoom Client дистанционный неаутентифицированный злоумышленник мог управлять такими функциями конференции как исключение участников из конференции, отправка сообщений в чат и управление отключением микрофона участников. Если злоумышленник также был действительным участником конференции, и другой участник демонстрировал экран своего компьютера, злоумышленник также мог получить управление клавиатурой и мышью этого участника.

Уязвимость связана с тем, что внутренний механизм обмена сообщениями Zoom отправлял сообщения протокола пользовательских дейтаграмм (UDP) и протокола управления передачей сервера (TCP) одному и тому же обработчику сообщений. Злоумышленник, используя эту уязвимость, мог создать и отправить пакеты UDP, которые интерпретируются как обрабатываемые сообщения из доверенного канала TCP, используемого авторизованными серверами Zoom.

С целью устранения этой уязвимости системы безопасности компания Zoom выпустила обновления клиента. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Клиенты для Windows до версии 4.1.34460.1105
  • Клиенты для Mac до версии 4.1.34475.1105
  • Клиенты для Linux до версии 2.5.146186.1130
  • Клиенты для iOS до версии 4.1.18 (4460.1105)
  • Клиенты для Android до версии 4.1.34489.1105
  • Клиенты для Chrome до версии 3.3.1635.1130
  • Клиенты Zoom Room для Windows до версии 4.1.6 (35121.1201)
  • Клиенты Zoom Room для Mac до версии 4.1.7 (35123.1201)
  • Клиенты Zoom Room для Chrome до версии 3.6.2895.1130
  • Пакет средств для разработки ПО Zoom для Windows до версии 4.1.30384.1029
  • Пакет средств для разработки ПО Zoom для Mac до версии 4.1.34180.1026
  • Пакет средств для разработки ПО Zoom для iOS до версии 4.1.34076.1024
  • Пакет средств для разработки ПО Zoom для Android до версии 4.1.34082.1024
  • Коннекторы виртуальных залов Zoom до версии 4.1.4813.1201
  • Коннекторы Zoom Meeting до версии 4.3.135059.1129
  • Коннекторы записей Zoom до версии 3.6.58865.1130
  • Коннектор Skype для бизнеса в облаке Zoom обновлен 01.12.2018
  • Коннектор конференц-залов в облаке Zoom обновлен 06.12.2018

Source: Дэвид Уэллс (David Wells) из компании Tenable.

No results found