Trust Center Security, Privacy, Blogs Additional Resources

Сводки по безопасности

Информацию о нашем противодействии Log4j можно прочитать в сводках по безопасности Zoom относительно раскрываемых сведений об Apache Log4j.

Severity All
  • Severity All
  • Critical
  • High
  • Medium
  • Low
CVE All
  • CVE All
  • CVE-2022-36924
  • CVE-2022-28768
  • CVE-2022-28766
  • CVE-2022-28764
  • CVE-2022-28763
  • CVE-2022-28762
  • CVE-2022-28761
  • CVE-2022-28760
  • CVE-2022-28758
    CVE-2022-28759
  • CVE-2022-28757
  • CVE-2022-28756
  • CVE-2022-28751
  • CVE-2022-28753
    CVE-2022-28754
  • CVE-2022-28755
  • CVE-2022-28752
  • CVE-2022-28750
  • CVE-2022-28749
  • CVE-2022-22788
  • CVE-2022-22787
  • CVE-2022-22786
  • CVE-2022-22785
  • CVE-2022-22784
  • CVE-2022-22783
  • CVE-2022-22782
  • CVE-2022-22781
  • CVE-2022-22780
  • CVE-2022-22779
  • CVE-2021-34426
  • CVE-2021-34425
  • CVE-2021-34424
  • CVE-2021-34423
  • CVE-2021-34422
  • CVE-2021-34421
  • CVE-2021-34420
  • CVE-2021-34419
  • CVE-2021-34418
  • CVE-2021-34417
  • CVE-2021-34416
  • CVE-2021-34415
  • CVE-2021-34414
  • CVE-2021-34413
  • CVE-2021-34412
  • CVE-2021-34411
  • CVE-2021-34408
  • CVE-2021-33907
  • CVE-2021-30480
  • CVE-2021-28133
  • CVE-2020-9767
  • CVE-2020-11443
  • CVE-2019-13567
  • CVE-2019-13450
  • CVE-2019-13449
  • CVE-2018-15715
Поиск

Сводки по безопасности

ZSB Date Title Severity CVE (if applicable)
ZSB-22030 11/15/2022 Повышение локальных привилегий в инструменте установки Zoom Rooms для Windows High CVE-2022-36924

Severity: High

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Инструмент установки Zoom Rooms для Windows до версии 5.12.6 имеет уязвимость, связанную с повышением локальных привилегий. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью во время установки для повышения своих привилегий до уровня пользователя системы.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Инструмент установки Zoom Rooms для Windows до версии 5.12.6

Source: По данным sim0nsecurity

ZSB-22029 11/15/2022 Повышение локальных привилегий в инструменте установки Zoom Client for Meetings для macOS High CVE-2022-28768

Severity: High

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Инструмент установки Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов) до версии 5.12.6 имеет уязвимость, связанную с повышением локальных привилегий. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью во время установки для повышения своих привилегий до уровня привилегированного пользователя.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Инструмент установки Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов) до версии 5.12.6

Source: По данным Коха М. Накагавы (Koh M. Nakagawa) (tsunekoh)

ZSB-22027 11/15/2022 DLL-инъекция в клиенты Zoom для Windows High CVE-2022-28766

Severity: High

CVSS Score: 8.1

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L

Description: Zoom Client for Meetings для 32-разрядной системы Windows до версии 5.12.6 и Zoom Rooms для конференц-залов до версии 5.12.6 подвержены уязвимости, связанной с DLL-инъекцией. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью для запуска произвольного кода в контексте клиента Zoom для ПК.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings для Windows (32-разрядной) до версии 5.12.6
  • Zoom Client for Meetings для VDI Windows (32-разрядной) до версии 5.12.6
  • Zoom Rooms для конференц-залов для Windows (32-разрядной) до версии 5.12.6

Source: По данным sim0nsecurity

ZSB-22025 11/10/2022 Локальное раскрытие информации в клиентах Zoom Low CVE-2022-28764

Severity: Low

CVSS Score: 3.3

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Description: Решения Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.12.6 подвержены уязвимости, связанной с локальным раскрытием информации.

В результате сбоя при очистке данных в локальной базе данных SQL после завершения конференции и использования для этой базы данных недостаточно безопасных методов шифрования ключа для каждого устройства злоумышленник, являющийся локальным пользователем, может получить данные конференции, например сообщения чата в предыдущей конференции, к которой подключались с помощью учетной записи этого локального пользователя.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.12.6
  • Zoom Client for Meetings для VDI Windows до версии 5.12.6
  • Zoom Rooms для конференц-залов (Android, iOS, Linux, macOS и Windows) до версии 5.12.6

Source: По данным Кристиана Цеске (Christian Zäske) из SySS GmbH

ZSB-22024 10/24/2022 Ненадлежащий анализ URL в Zoom desktop client или Zoom mobile app High CVE-2022-28763

Severity: High

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Description: Решения Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.12.2 подвержены уязвимости, связанной с анализом URL. Перейдя по вредоносному URL на конференцию Zoom, пользователь может подключиться к произвольному сетевому адресу, что приведет к дополнительным атакам, в том числе перехватам сеансов.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.12.2
  • Zoom Client for Meetings для VDI Windows до версии 5.12.2
  • Zoom Rooms для конференц-залов (Android, iOS, Linux, macOS и Windows) до версии 5.12.2

Source: По данным отдела безопасности Zoom

ZSB-22023 10/11/2022 Неправильная настройка порта отладки в Zoom Apps в Zoom Client for Meetings для macOS High CVE-2022-28762

Severity: High

CVSS Score: 7.3

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

Description: Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов), начиная с версии 5.10.6 и до версии 5.12.0, имеет неправильную настройку порта отладки. Если при запуске определенных Zoom Apps в слоях API Zoom Apps включено отображение контекста в режиме камеры, Zoom desktop client открывает локальный порт отладки. Локальный злоумышленник может использовать этот порт отладки для подключения к Zoom Apps, запущенным в Zoom desktop client, и управления ими.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов), начиная с версии 5.10.6 и до версии 5.12.0

Source: По данным отдела безопасности Zoom

ZSB-22022 10/11/2022 Локальные развертывания Zoom: ненадлежащий контроль доступа Medium CVE-2022-28761

Severity: Medium

CVSS Score: 6,5

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Description: MMR локального коннектора конференций Zoom до версии 4.8.20220916.131 имеет уязвимость, связанную с ненадлежащим контролем доступа. Вследствие этого злоумышленник, присутствующий на конференции или вебинаре, к которым ему разрешен доступ, может препятствовать тому, чтобы участники получали звук и видео, приводя таким образом к срывам конференций.

Что касается локальных развертываний Zoom, ИТ-администраторы могут поддерживать актуальное состояние своего программного обеспечения Zoom, следуя указаниям на странице https://support.zoom.us/hc/en-us/articles/360043960031

Affected Products:

  • MMR локального коннектора конференций Zoom до версии 4.8.20220916.131

Source: По данным отдела наступательной безопасности Zoom

ZSB-22021 09/13/2022 Локальные развертывания Zoom: ненадлежащий контроль доступа Средний CVE-2022-28760

Severity: Средний

CVSS Score: 6,5

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Description: MMR локального коннектора конференций Zoom до версии 4.8.20220815.130 имеет уязвимость, связанную с ненадлежащим контролем доступа. Вследствие этого злоумышленник может присоединиться к конференции, к которой ему разрешен доступ, и при этом другие участники не будут его видеть.

Что касается локальных развертываний Zoom, ИТ-администраторы могут поддерживать актуальное состояние своего программного обеспечения Zoom, следуя указаниям на странице https://support.zoom.us/hc/en-us/articles/360043960031

Affected Products:

  • MMR локального коннектора конференций Zoom до версии 4.8.20220815.130

Source: По данным отдела наступательной безопасности Zoom

ZSB-22020 09/13/2022 Локальные развертывания Zoom: ненадлежащий контроль доступа Высокий CVE-2022-28758
CVE-2022-28759

Severity: Высокий

CVSS Score: 8.2

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Description: MMR локального коннектора конференций Zoom до версии 4.8.20220815.130 имеет уязвимость, связанную с ненадлежащим контролем доступа. Вследствие этого злоумышленник может получить доступ к аудио- и видеопотоку конференции, к которой он присоединился без разрешения, что может привести к ее срыву.

Что касается локальных развертываний Zoom, ИТ-администраторы могут поддерживать актуальное состояние своего программного обеспечения Zoom, следуя указаниям на странице https://support.zoom.us/hc/en-us/articles/360043960031

Affected Products:

  • MMR локального коннектора конференций Zoom до версии 4.8.20220815.130

Source: По данным отдела безопасности Zoom

ZSB-22019 08/17/2022 Эскалация локальных привилегий в инструменте автоматического обновления: Zoom Client for Meetings для macOS Высокий CVE-2022-28757

Severity: Высокий

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов), начиная с версии 5.7.3 и до версии 5.11.6, имеет уязвимость, связанную с процессом автоматического обновления. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью для эскалации своих привилегий до уровня root.

Примечание. Эта проблема позволяет обойти исправление, выпущенное в версии 5.11.5 для решения CVE-2022-28756.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов), начиная с версии 5.7.3 и до версии 5.11.6

Source: По данным Ксабы Фитцля (Csaba Fitzl, theevilbit), Offensive Security

ZSB-22018 08/13/2022 Эскалация локальных привилегий в инструменте автоматического обновления: продукты Zoom для macOS [Updated 2022-09-13] Высокий CVE-2022-28756

Severity: Высокий

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов), начиная с версии 5.7.3 и до версии 5.11.5, и Zoom Rooms для конференц-залов для macOS до версии 5.11.6 имеет уязвимость, связанную с процессом автоматического обновления. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью для эскалации своих привилегий до уровня root.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

* Изменения: 13.09.2022. Обновлены заголовок и описание, в раздел «Затронутые продукты» добавлено решение Zoom Rooms.

Affected Products:

  • Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов), начиная с версии 5.7.3 и до версии 5.11.5
  • Zoom Rooms для конференц-залов для macOS до версии 5.11.6

Source: По данным Патрика Уордла (Patrick Wardle) из Objective-See

ZSB-22017 08/09/2022 Эскалация локальных привилегий в Zoom Client for Meetings для macOS Высокий CVE-2022-28751

Severity: Высокий

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов) до версии 5.11.3 имеет уязвимость, связанную с проверкой подписи пакета в процессе обновления. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью для эскалации своих привилегий до уровня root.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов) до версии 5.11.3

Source: По данным Патрика Уордла (Patrick Wardle) из Objective-See

ZSB-22014 08/09/2022 Локальные развертывания Zoom: ненадлежащий контроль доступа Высокий CVE-2022-28753
CVE-2022-28754

Severity: Высокий

CVSS Score: 7,1

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N

Description: MMR локального коннектора конференций Zoom до версии 4.8.129.20220714 имеет уязвимость, связанную с ненадлежащим контролем доступа. Вследствие этого злоумышленник может присоединиться к конференции, к которой ему разрешен доступ, и при этом другие участники не будут его видеть, может допустить себя на конференцию из зала ожидания, стать организатором и сорвать конференцию иными действиями.

Что касается локальных развертываний Zoom, ИТ-администраторы могут поддерживать актуальное состояние своего программного обеспечения Zoom, следуя указаниям на странице https://support.zoom.us/hc/en-us/articles/360043960031

Affected Products:

  • MMR локального коннектора конференций Zoom до версии 4.8.129.20220714

Source: По данным отдела наступательной безопасности Zoom

ZSB-22016 08/09/2022 Ненадлежащий анализ URL в Zoom desktop client или Zoom mobile app [Updated 2022-10-24] Критический CVE-2022-28755

Severity: Критический

CVSS Score: 9.6

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Description: Решения Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.11.0 подвержены уязвимости, связанной с анализом URL. Перейдя по вредоносному URL на конференцию Zoom, пользователь может подключиться к произвольному сетевому адресу, что приведет к дополнительным атакам, в том числе сделает возможным удаленное выполнение кода путем запуска исполняемых файлов из произвольных путей.

* Изменения: 24.10.2022. В раздел «Затронутые продукты» добавлено решение Zoom Rooms.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.11.0
  • Zoom Client for Meetings для VDI Windows до версии 5.10.7
  • Zoom Rooms для конференц-залов (Android, iOS, Linux, macOS и Windows) до версии 5.11.0

Source: По данным отдела безопасности Zoom

ZSB-22013 08/09/2022 Эскалация локальных привилегий в Zoom Rooms: клиент для Windows Высокий CVE-2022-28752

Severity: Высокий

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Решения Zoom Rooms для конференц-залов для Windows до версии 5.11.0 подвержены уязвимости, связанной с эскалацией локальных привилегий. Злоумышленник, являющийся локальным пользователем с минимальными привилегиями, может воспользоваться этой уязвимостью для эскалации своих привилегий до уровня пользователя SYSTEM.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Zoom Rooms для конференц-залов для Windows до версии 5.11.0

Source: По данным sim0nsecurity

ZSB-22012 08/09/2022 Локальные развертывания Zoom: переполнение буфера стека в коннекторе конференций Высокий CVE-2022-28750

Severity: Высокий

CVSS Score: 7.5

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Description: Локальный контроллер зон (ZC) коннектора конференций Zoom до версии 4.8.20220419.112 не может надлежащим образом анализировать коды ошибок STUN, что может привести к повреждению памяти и позволит злоумышленнику выполнить аварийное завершение работы приложения. В версиях до 4.8.12.20211115 эту уязвимость также могут использовать для выполнения произвольного кода.

Что касается локальных развертываний Zoom, ИТ-администраторы могут поддерживать актуальное состояние своего программного обеспечения Zoom, следуя рекомендациям на странице https://support.zoom.us/hc/en-us/articles/360043960031

Affected Products:

  • Локальный контроллер зон (ZC) коннектора конференций Zoom до версии 4.8.20220419.112

Source: По данным отдела наступательной безопасности Zoom

ZSB-22011 06/14/2022 Недостаточная проверка авторизации во время присоединения к конференции Средний CVE-2022-28749

Severity: Средний

CVSS Score: 6,5

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Description: Мультимедийный маршрутизатор локального коннектора конференций Zoom до версии 4.8.113.20220526 не может надлежащим образом проверить разрешения присутствующих на конференциях Zoom. В результате этого злоумышленники в зале ожидания Zoom могут присоединяться к конференции без согласия организатора.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Локальный коннектор конференций до версии 4.8.113.20220526.

Source: По данным отдела наступательной безопасности Zoom

ZSB- 22010 06/14/2022 DLL-инъекция в инструмент установки Zoom Opener для Zoom Client for Meetings и клиента Zoom Rooms Высокий CVE-2022-22788

Severity: Высокий

CVSS Score: 7,1

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

Description: Пользователи загружают инструмент установки Zoom Opener на странице запуска конференции при попытке присоединиться к конференции без установки Zoom Client for Meetings. Инструмент установки Zoom Opener для Zoom Client for Meetings до версии 5.10.3 и Zoom Rooms для конференц-залов для Windows до версии 5.10.3 подвержен атакам типа «DLL-инъекция». Эта уязвимость может использоваться для запуска произвольного кода на узле жертвы.

Пользователи могут помочь обезопасить себя, удалив более ранние версии и запуская последние версии инструмента установки Zoom Opener с помощью кнопки «Загрузить сейчас» на странице запуска конференции. Кроме того, пользователи могут защитить себя, загрузив новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings для Windows до версии 5.10.3.
  • Все Zoom Rooms для конференц-залов для Windows до версии 5.10.3.

Source: По данным Джеймса Цз Ко Юнга (James Tsz Ko Yeung)

ZSB-22009 05/17/2022 Недостаточная проверка имени узла во время переключения сервера в Zoom Client for Meetings Средний CVE-2022-22787

Severity: Средний

CVSS Score: 5,9

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Description: Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.10.0 не удается надлежащим образом проверить имя узла во время выполнения запроса на переключение сервера. Эту проблему могут использовать в более сложной атаке с целью обманным путем заставить клиент ничего не подозревающего пользователя подключиться к вредоносному серверу при попытке воспользоваться услугами Zoom.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.10.0

Source: По данным Ивана Фратрика из Google Project Zero

ZSB-22008 05/17/2022 Обновление в целях понижения пакета до предыдущей версии в Zoom Client for Meetings для Windows Высокий CVE-2022-22786

Severity: Высокий

CVSS Score: 7.5

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Description: Zoom Client for Meetings для Windows до версии 5.10.0 и Zoom Rooms для конференц-залов для Windows до версии 5.10.0 не удается надлежащим образом проверить версию установки во время процесса обновления. Эту проблему могут использовать в более сложной атаке с целью обманным путем заставить пользователя понизить версию Zoom Desktop Client до менее безопасной.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Все версии Zoom Client for Meetings для Windows до версии 5.10.0
  • Все Zoom Rooms для конференц-залов для Windows до версии 5.10.0

Source: По данным Ивана Фратрика из Google Project Zero

ZSB-22007 05/17/2022 Ненадлежащее ограничение файлов cookie сеанса в Zoom Client for Meetings Средний CVE-2022-22785

Severity: Средний

CVSS Score: 5,9

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Description: Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.10.0 не удается надлежащим образом ограничить файлы cookie сеанса клиента, чтобы они использовались только для доменов Zoom. Эту проблему могут использовать в более сложной атаке с целью отправить файлы cookie сеанса Zoom отдельного пользователя на домен, не принадлежащий Zoom. Этим могут воспользоваться для подмены пользователя Zoom.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.10.0

Source: По данным Ивана Фратрика из Google Project Zero

ZSB- 22006 05/17/2022 Неправильный анализ XML в Zoom Client for Meetings Высокий CVE-2022-22784

Severity: Высокий

CVSS Score: 8.1

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Description: Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.10.0 не удается надлежащим образом проанализировать XML-стансы в XMPP-сообщениях. Благодаря этому злоумышленник может выйти за рамки контекста текущего XMPP-сообщения и создать новый контекст сообщения, чтобы платформа клиента пользователя, получающего сообщение, выполняла разнообразные действия. Эту проблему могут использовать в более сложной атаке в целях подделки XMPP-сообщений из сервера.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.10.0

Source: По данным Ивана Фратрика из Google Project Zero

ZSB- 22005 04/27/2022 Незащищенность памяти процесса в локальных службах конференций Zoom Высокий CVE-2022-22783

Severity: Высокий

CVSS Score: 8.3

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/CR:H

Description: Уязвимость локального контроллера коннектора конференций Zoom версии 4.8.102.20220310 и MMR локального коннектора конференций версии 4.8.102.20220310 заключается в предоставлении подключенным клиентам фрагментов памяти процесса, которые могут просматривать пассивные злоумышленники.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности.

Affected Products:

  • Локальный контроллер коннектора конференций Zoom версии 4.8.102.20220310
  • MMR локального коннектора конференций Zoom версии 4.8.102.20220310

Source: Отдел наступательной безопасности Zoom

ZSB-22004 04/27/2022 Эскалация локальных привилегий в клиентах Zoom Client для Windows Высокий CVE-2022-22782

Severity: Высокий

CVSS Score: 7.9

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

Description: Zoom Client for Meetings для Windows до версии 5.9.7, Zoom Rooms для конференц-зала для Windows до версии 5.10.0, плагины Zoom для Microsoft Outlook для Windows до версии 5.10.3 и Zoom Meeting Client для VDI для Windows до версии 5.9.6 были подвержены эскалации локальных привилегий в процессе восстановления программы установки. Злоумышленник мог использовать это для потенциального удаления файлов или папок системного уровня, вызывая проблемы с целостностью или доступностью на хост-машине пользователя.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings для Windows до версии 5.9.7
  • Все версии Zoom Rooms для конференц-залов для Windows до версии 5.10.0
  • Все версии плагинов Zoom для Microsoft Outlook для Windows до версии 5.10.3
  • Все версии Zoom Meeting Client для VDI для Windows до версии 5.9.6

Source: По данным Zero Day Initiative

ZSB-22003 04/27/2022 Обновление понижения пакета до предыдущей версии в Zoom Client for Meetings для macOS Высокий CVE-2022-22781

Severity: Высокий

CVSS Score: 7.5

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Description: В Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов) до версии 5.9.6 не удавалось корректно проверить версию пакета в процессе обновления. Таким образом злоумышленник мог обновить версию приложения до менее безопасной на компьютере ничего не подозревающего пользователя.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Все решения Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов) до версии 5.9.6

Source: По данным Патрика Уордла (Patrick Wardle) из Objective-See

ZSB-22002 02/08/2022 Решение Zoom Team Chat подвержено ZIP-бомбардировке Средний CVE-2022-22780

Severity: Средний

CVSS Score: 4.7

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L

Description: Функция чата Zoom Client for Meetings была подвержена атакам с использованием ZIP-бомб в следующих версиях продукта: для Android до версии 5.8.6, для iOS до версии 5.9.0, для Linux до версии 5.8.6, для macOS до версии 5.7.3 и Windows до версии 5.6.3. Это могло привести к проблемам с доступностью на узле Zoom Client for Meetings ввиду исчерпания системных ресурсов.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Все версии Zoom Client for Meetings для Android до версии 5.8.6
  • Все версии Zoom Client for Meetings для iOS до версии 5.9.0
  • Все версии Zoom Client for Meetings для Linux до версии 5.8.6
  • Все версии Zoom Client for Meetings для macOS до версии 5.7.3
  • Все версии Zoom Client for Meetings для Windows до версии 5.6.3

Source: По данным Джонни Ву из Walmart Global Tech

ZSB-22001 02/08/2022 Сохранение разбитых на части сообщений в клиентах Keybase Client для macOS и Windows Низкий CVE-2022-22779

Severity: Низкий

CVSS Score: 3.7

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Description: В клиентах Keybase Client для macOS и Windows до версии 5.9.0 не работает надлежащее удаление разбитых на части сообщений, инициированных пользователем. Такое может наблюдаться, если пользователь, получающий сообщение, переключается на функцию, не связанную с чатом, и переводит узел в спящий режим до того, как пользователь, отправляющий сообщение, разобьет сообщение на части. Это могло приводить к раскрытию конфиденциальной информации, которая должна была быть удалена из файловой системы пользователя.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Keybase со всеми текущими обновлениями безопасности на странице https://keybase.io/download.

Affected Products:

  • Все версии клиента Keybase Client для macOS и Windows до версии 5.9.0

Source: По данным Оливии О’Хара (Olivia O'Hara)

ZSB-21022 12/14/2021 Выполнение случайной команды в Keybase Client для Windows Средний CVE-2021-34426

Severity: Средний

CVSS Score: 5.3

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

Description: В Keybase Client для Windows до версии 5.6.0 была обнаружена уязвимость при выполнении пользователем команды «keybase git lfs-config» в командной строке. До версии 5.6.0 злоумышленник с правами на запись в гит-репозиторий пользователя мог потенциально использовать эту уязвимость для выполнения произвольных команд Windows в локальной системе пользователя.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Keybase со всеми текущими обновлениями безопасности на странице https://keybase.io/download.

Affected Products:

  • Все версии Keybase Client для Windows до версии 5.6.0

Source: По данным RyotaK

ZSB-21021 12/14/2021 Подделка серверного запроса в чате Zoom Client for Meetings Средний CVE-2021-34425

Severity: Средний

CVSS Score: 4.7

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N

Description: В Zoom Client for Meetings до версии 5.7.3 (для Android, iOS, Linux, macOS и Windows) была уязвимость подделки серверного запроса, содержащаяся в функции предпросмотра ссылки в чате. В версиях до 5.7.3 при включении пользователем в чате функции «Предпросмотр ссылки» злоумышленник мог обманом вынудить пользователя потенциально отправлять произвольные запросы HTTP GET на URL-адреса, к которым у злоумышленника нет непосредственного доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Все версии Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.7.3

Source: По данным Джонни Ву из Walmart Global Tech

ZSB-21020 11/24/2021 Незащищенность памяти процесса в Zoom Client и других продуктах Средний CVE-2021-34424

Severity: Средний

CVSS Score: 5.3

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Description: В продуктах, перечисленных в разделе «Затронутые продукты» этих сводок по безопасности, была обнаружена уязвимость, потенциально раскрывающая состояние памяти процесса. Эту проблему потенциально можно использовать для получения сведений из случайных областей памяти продукта.

Компания Zoom исправила эту проблему в последних выпусках продуктов, перечисленных в разделе ниже. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности.

Affected Products:

  • Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.8.4
  • Zoom Client for Meetings для BlackBerry (Android и iOS) до версии 5.8.1
  • Zoom Client for Meetings для Intune (Android и iOS) до версии 5.8.4
  • Zoom Client for Meetings для Chrome OS до версии 5.0.1
  • Zoom Rooms для конференц-залов (Android, AndroidBali, macOS и Windows) до версии 5.8.3
  • Контроллеры для Zoom Rooms (Android, iOS и Windows) до версии 5.8.3
  • Zoom Meeting Client для VDI Windows до версии 5.8.4
  • Плагины виртуального рабочего стола Azure VDI для Zoom (Windows x86 и x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) до версии 5.8.4.21112
  • Плагины VDI Citrix для Zoom (Windows x86 и x64, универсальное средство установки и удаления программ на Mac, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) до версии 5.8.4.21112
  • Плагины VDI VMware для Zoom (Windows x86 и x64, универсальное средство установки и удаления программ на Mac, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) до версии 5.8.4.21112
  • Пакет средств для разработки ПО Zoom Meeting для Android до версии 5.7.6.1922
  • Пакет средств для разработки ПО Zoom Meeting для iOS до версии 5.7.6.1082
  • Пакет средств для разработки ПО Zoom Meeting для Windows до версии 5.7.6.1081
  • Пакет средств для разработки ПО Zoom Meeting для Mac до версии 5.7.6.1340
  • Пакет средств для разработки ПО для видеосвязи Zoom (Android, iOS, macOS и Windows) до версии 1.1.2
  • Локальный коннектор конференций Zoom до версии 4.8.12.20211115
  • MMR локального коннектора конференций Zoom до версии 4.8.12.20211115
  • Локальный коннектор записи Zoom до версии 5.1.0.65.20211116
  • Локальный коннектор виртуальных залов Zoom до версии 4.4.7266.20211117
  • Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5692.20211117
  • Zoom Hybrid Zproxy до версии 1.0.1058.20211116
  • Zoom Hybrid MMR до версии 4.6.20211116.131_x86-64

Source: По данным Натали Сильванович (Natalie Silvanovich) из Google Project Zero

ZSB-21019 11/24/2021 Переполнение буфера в Zoom Client и других продуктах Высокий CVE-2021-34423

Severity: Высокий

CVSS Score: 7.3

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Description: В продуктах, перечисленных в разделе «Затронутые продукты» этих сводок по безопасности, была обнаружена уязвимость переполнения буфера. Потенциально она позволяет злоумышленнику вызвать аварийное завершение службы или приложения. Уязвимость можно также использовать для выполнения случайного кода.

Компания Zoom исправила эту проблему в последних выпусках продуктов, перечисленных в разделе ниже. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности.

Affected Products:

  • Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.8.4
  • Zoom Client for Meetings для BlackBerry (Android и iOS) до версии 5.8.1
  • Zoom Client for Meetings для Intune (Android и iOS) до версии 5.8.4
  • Zoom Client for Meetings для Chrome OS до версии 5.0.1
  • Zoom Rooms для конференц-залов (Android, AndroidBali, macOS и Windows) до версии 5.8.3
  • Контроллеры для Zoom Rooms (Android, iOS и Windows) до версии 5.8.3
  • Zoom Meeting Client для VDI Windows до версии 5.8.4
  • Плагины виртуального рабочего стола Azure VDI для Zoom (Windows x86 и x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) до версии 5.8.4.21112
  • Плагины VDI Citrix для Zoom (Windows x86 и x64, универсальное средство установки и удаления программ на Mac, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) до версии 5.8.4.21112
  • Плагины VDI VMware для Zoom (Windows x86 и x64, универсальное средство установки и удаления программ на Mac, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) до версии 5.8.4.21112
  • Пакет средств для разработки ПО Zoom Meeting для Android до версии 5.7.6.1922
  • Пакет средств для разработки ПО Zoom Meeting для iOS до версии 5.7.6.1082
  • Пакет средств для разработки ПО Zoom Meeting для macOS до версии 5.7.6.1340
  • Пакет средств для разработки ПО Zoom Meeting для Windows до версии 5.7.6.1081
  • Пакет средств для разработки ПО для видеосвязи Zoom (Android, iOS, macOS и Windows) до версии 1.1.2
  • Локальный контроллер коннектора конференций Zoom до версии 4.8.12.20211115
  • MMR локального коннектора конференций Zoom до версии 4.8.12.20211115
  • Локальный коннектор записи Zoom до версии 5.1.0.65.20211116
  • Локальный коннектор виртуальных залов Zoom до версии 4.4.7266.20211117
  • Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5692.20211117
  • Zoom Hybrid Zproxy до версии 1.0.1058.20211116
  • Zoom Hybrid MMR до версии 4.6.20211116.131_x86-64

Source: Источник. По данным Натали Сильванович (Natalie Silvanovich) из Google Project Zero

ZSB-21018 11/09/2021 Выход за пределы каталога имен файлов в Keybase Client для Windows Высокий CVE-2021-34422

Severity: Высокий

CVSS Score: 7.2

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

Description: В Keybase Client для Windows до версии 5.7.0 содержалась уязвимость выхода за пределы каталога при проверке имени файла, загруженного в папку команды. Пользователь-злоумышленник мог загрузить файл со специальным именем в общую папку для выполнения приложения, не предназначенного для этой хост-машины. Использование пользователем-злоумышленником этой ошибки с функцией совместного доступа в Keybase Client к открытой папке могло привести к удаленному выполнению кода.

Эта ошибка исправлена в Keybase Client для Windows в выпуске 5.7.0. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Keybase со всеми текущими обновлениями безопасности на странице https://keybase.io/download.

Affected Products:

  • Keybase Client для Windows до версии 5.7.0

Source: По данным m4t35z

ZSB-21017 11/09/2021 Сохранение разбитых на части сообщений в Keybase Client для Android и iOS Низкий CVE-2021-34421

Severity: Низкий

CVSS Score: 3.7

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Description: В Keybase Client для Android до версии 5.8.0 и в Keybase Client для iOS до версии 5.8.0 не работает надлежащее удаление разбитых на части сообщений, инициированных пользователем, если сеанс чата у получающего пользователя находится в фоновом режиме в то время, когда у отправляющего пользователя происходит разбивка сообщений. Это могло приводить к раскрытию конфиденциальной информации, которая должна была быть удалена с устройства клиента.

Эта ошибка исправлена в Keybase Client в выпуске 5.8.0 для Android и в выпуске 5.8.0 для iOS. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Keybase со всеми текущими обновлениями безопасности на странице https://keybase.io/download.

Affected Products:

  • Все версии Keybase Client для Android до версии 5.8.0
  • Все версии Keybase Client для iOS до версии 5.8.0

Source: По данным Оливии О'Хара, Джона Джексона, Джексона Генри и Роберта Уиллиса

ZSB-21016 11/09/2021 Обход подписи исполняемого файла установки Zoom в Windows Средний CVE-2021-34420

Severity: Средний

CVSS Score: 4.7

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N

Description: Установщик Zoom Client for Meetings для Windows до версии 5.5.4 не проверяет надлежащим образом подпись файлов с расширениями .msi, .ps1 и .bat. Это могло привести к установке злоумышленником вредоносного ПО на компьютере клиента.

Компания Zoom исправила эту проблему в выпуске 5.5.4 Zoom Client for Meetings для Windows. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Все версии Zoom Client for Meetings для Windows до версии 5.5.4

Source: По данным Лорена Делосье (Laurent Delosieres) из ManoMano

ZSB-21015 11/09/2021 Ввод HTML в Zoom Client для Linux Низкий CVE-2021-34419

Severity: Низкий

CVSS Score: 3.7

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

Description: В Zoom Client for Meetings для Ubuntu Linux до версии 5.1.0 существует дефект ввода HTML при отправке пользователю запроса на удаленное управление во время демонстрации экрана на конференции. Таким образом, участники конференций могли стать жертвами информационно-психологических атак.

Компания Zoom исправила эту проблему в выпуске 5.1.0 Zoom Client for Meetings для Ubuntu Linux. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings для Ubuntu Linux до версии 5.1.0

Source: По данным Дэнни дэ Виля (Danny de Weille) и Рика Вердозы (Rick Verdoes) из hackdefense

ZSB-21014 11/09/2021 Сбой указателя, содержащего неопределенное значение, при предварительной авторизации в локальной веб-консоли Средний CVE-2021-34418

Severity: Средний

CVSS Score: 4.0

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Description: Для продуктов, перечисленных в разделе «Затронутые продукты» этих сводок по безопасности, в службе входа в веб-консоль не удается проверить отправку неопределенного значения во время авторизации. Это могло привести к аварийному завершению службы входа.

Affected Products:

  • Локальный контроллер коннектора конференций Zoom до версии 4.6.239.20200613
  • MMR локального коннектора конференций Zoom до версии 4.6.239.20200613
  • Локальный коннектор записи Zoom до версии 3.8.42.20200905
  • Локальный коннектор виртуальных залов Zoom до версии 4.4.6344.20200612
  • Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5492.20200616

Source: По данным Джереми Брауна

ZSB-21013 11/09/2021 Авторизированное выполнение удаленной команды с привилегиями root-пользователя с помощью веб-консоли в MMR Высокий CVE-2021-34417

Severity: Высокий

CVSS Score: 7.9

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N

Description: В продуктах, перечисленных в разделе «Затронутые продукты» этих сводок по безопасности, на странице сетевого прокси Web Portal не удается проверить значение ввода, отправляемого в запросах на установку пароля сетевого прокси. Это могло привести к вводу удаленной команды администратором Web Portal.

Affected Products:

  • Локальный контроллер коннектора конференций Zoom до версии 4.6.365.20210703
  • MMR локального коннектора конференций Zoom до версии 4.6.365.20210703
  • Локальный коннектор записи Zoom до версии 3.8.45.20210703
  • Локальный коннектор виртуальных залов Zoom до версии 4.4.6868.20210703
  • Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5496.20210703

Source: По данным Джереми Брауна

ZSB-21012 09/30/2021 Удаленное выполнение кода в локальной среде с помощью Web Portal Средний CVE-2021-34416

Severity: Средний

CVSS Score: 5.5

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N

Description: Web Portal административных настроек сетевого адреса для локального коннектора конференций Zoom до версии 4.6.360.20210325, MMR локального коннектора конференций Zoom до версии 4.6.360.20210325, локального коннектора записи Zoom до версии 3.8.44.20210326, локального коннектора виртуальных залов Zoom до версии 4.4.6752.20210326 и локального балансировщика нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5495.20210326 не может проверить значение ввода, отправленное в запросах на обновление конфигурации сети, что может привести ко вводу администраторами Web Portal удаленной команды в локальной среде.

Affected Products:

  • Локальный коннектор конференций Zoom до версии 4.6.360.20210325
  • MMR локального коннектора конференций Zoom до версии 4.6.360.20210325
  • Локальный коннектор записи Zoom до версии 3.8.44.20210326
  • Локальный коннектор виртуальных залов Zoom до версии 4.4.6752.20210326
  • Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5495.20210326

Source: По данным Егора Димитренко (Egor Dimitrenko) из Positive Technologies

ZSB-21011 09/30/2021 Аварийное завершение контроллера зон с помощью ПБД с последующими многочисленными распределениями Высокий CVE-2021-34415

Severity: Высокий

CVSS Score: 7.5

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Description: Служба контроллера зон в локальном контроллере коннектора конференций Zoom до версии 4.6.358.20210205 не проверяет значение поля cnt, отправленное во входящих сетевых пакетах, что приводит к истощению ресурсов и аварийному завершению работы системы.

Affected Products:

  • Локальный контроллер коннектора конференций Zoom до версии 4.6.358.20210205

Source: По данным Никиты Абрамова (Nikita Abramov) из Positive Technologies

ZSB-21010 09/30/2021 Удаленное выполнение кода на сервере коннектора конференций с помощью конфигурации сетевого прокси на Web Portal Средний CVE-2021-34414

Severity: Средний

CVSS Score: 7.2

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Description: На странице сетевого прокси Web Portal для локального контроллера коннектора конференций Zoom до версии 4.6.348.20201217, MMR локального коннектора конференций Zoom до версии 4.6.348.20201217, локального коннектора записи Zoom до версии 3.8.42.20200905, локального коннектора виртуальных залов Zoom до версии 4.4.6620.20201110 и локального балансировщика нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5495.20210326 не удается проверить значение ввода, отправленное в запросах на обновление конфигурации сетевого прокси, что может привести ко вводу администраторами Web Portal удаленной команды в локальной среде.

Affected Products:

  • Локальный контроллер коннектора конференций Zoom до версии 4.6.348.20201217
  • MMR локального коннектора конференций Zoom до версии 4.6.348.20201217
  • Локальный коннектор записи Zoom до версии 3.8.42.20200905
  • Локальный коннектор виртуальных залов Zoom до версии 4.4.6620.20201110
  • Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5495.20210326

Source: По данным Егора Димитренко (Egor Dimitrenko) из Positive Technologies

ZSB-21009 09/30/2021 Эскалация локальных привилегий программы установки плагина Outlook для Zoom в macOS Низкий CVE-2021-34413

Severity: Низкий

CVSS Score: 2.8

CVSS Vector String: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N

Description: Все версии плагина Zoom для Microsoft Outlook для macOS до версии 5.3.52553.0918 имеют уязвимость, связанную со временем проверки и временем использования (TOC/TOU) в процессе установки плагина. Таким образом, стандартный пользователь мог записать собственное вредоносное приложение в каталог плагинов и позволить запуск этого приложения в среде с повышенными привилегиями.

Affected Products:

  • Все версии плагина Zoom для Microsoft Outlook для macOS до версии 5.3.52553.0918

Source: По данным группы тестирования внешних угроз компании Lockheed Martin

ZSB-21008 09/30/2021 Эскалация локальных привилегий программы установки Zoom for Windows Средний CVE-2021-34412

Severity: Средний

CVSS Score: 4.4

CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Description: В процессе установки всех версий Zoom Client for Meetings для Windows до версии 5.4.0 можно запустить Internet Explorer. При запуске программы установки с повышенными привилегиями (например, SCCM) это может привести к эскалации локальных привилегий.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings для Windows до версии 5.4.0

Source: По данным группы тестирования внешних угроз компании Lockheed Martin

ZSB-21007 09/30/2021 Эскалация локальных привилегий программы установки Zoom Rooms Средний CVE-2021-34411

Severity: Средний

CVSS Score: 4.4

CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Description: В процессе установки Zoom Rooms для конференц-залов для Windows до версии 5.3.0 возможен запуск Internet Explorer с повышенными привилегиями. При запуске программы установки с повышенными привилегиями (например, SCCM) это может привести к эскалации локальных привилегий.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Zoom Rooms для конференц-залов для Windows до версии 5.3.0
  • Zoom Rooms для конференц-залов до версии 5.1.0

Source: По данным группы тестирования внешних угроз компании Lockheed Martin

ZSB-21004 09/30/2021 Повышенные права на запись в установщике MSI Zoom с помощью функции соединения Высокий CVE-2021-34408

Severity: Высокий

CVSS Score: 7.0

CVSS Vector String: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Description: Каталог с правами на запись для пользователя, созданный в процессе установки Zoom Client for Meetings для Windows до версии 5.3.2, можно перенаправить в другое расположение с помощью функции соединения. Так злоумышленник может перезаписать файлы, которые в противном случае пользователь с ограниченными правами не смог бы изменить.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Zoom Client for Meetings для Windows до версии 5.3.2

Source: По данным группы тестирования внешних угроз компании Lockheed Martin

ZSB-21003 09/30/2021 Обход цифровой подписи программы установки Zoom в Windows Высокий CVE-2021-33907

Severity: Высокий

CVSS Score: 7.0

CVSS Vector String: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H/MPR:N/MUI:R/MS:U/MC:H/MI:H/MA:H

Description: В Zoom Client for Meetings для Windows во всех версиях до 5.3.0 не удается надлежащим образом проверить информацию о сертификате, использованном для подписи файлов .msi при обновлении клиента. Это могло привести к удаленному выполнению кода в среде с повышенными привилегиями.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Все версии Zoom Client for Meetings для Windows до версии 5.3.0

Source: По данным группы тестирования внешних угроз компании Lockheed Martin

ZSB-21002 08/13/2021 Переполнение кучи из статического буфера привело к отключению записи из сообщения XMPP (расширяемый протокол обмена сообщениями и информацией о присутствии) Высокий CVE-2021-30480

Severity: Высокий

CVSS Score: 8.1

CVSS Vector String: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H

Description: Переполнение буфера на основе кучи существует во всех версиях Zoom Client for Meetings для рабочего стола, предшествующих версии 5.6.3. Сведения об этом наблюдении были представлены в Zoom в рамках Pwn20wn 2021 в Ванкувере. Подавление цепочки атак, продемонстрированной во время Pwn20wn, было реализовано в изменении на стороне сервера в инфраструктуре Zoom 09.04.2021.

При объединении с двумя другими проблемами, о которых сообщалось во время Pwn20wn (ненадлежащая проверка URL при отправке сообщения XMPP (расширяемый протокол обмена сообщениями и информацией о присутствии) для доступа к URL приложения Zoom Marketplace и неверная проверка URL при отображении изображения GIPHY) злоумышленник может добиться удаленного выполнения кода на целевом компьютере.
Для успешного выполнения этой атаки целевой объект должен предварительно принять запрос соединения от злоумышленника или участвовать в чате с несколькими пользователями, в числе которых присутствует злоумышленник. Цепочка атак, продемонстрированная во время Pwn20wn, была достаточно очевидной для целевых объектов, поэтому об этой проблеме уведомили несколько клиентов.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Все версии Zoom Client for Meetings для рабочего стола, предшествующие версии 5.6.3.

Source: Сведения предоставили Даан Кеупер (Daan Keuper) и Тийс Алькемад (Thijs Alkemade) из компании Computest во время инициативы нулевого дня.

ZSB-21001 03/26/2021 Функция демонстрации экрана для окна приложения Средний CVE-2021-28133

Severity: Средний

CVSS Score: 5.7

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

Description: Из-за уязвимости была нарушена работа функции демонстрации экрана в клиентах Zoom для Windows и Linux при демонстрации окон отдельного приложения. Это проявляется в том, что содержимое экранов тех приложений, для которых демонстрирующий свой экран пользователь не давал четкой команды показывать их, может на мгновение стать видимым для других участников конференции в тот момент, когда демонстрирующий свой экран пользователь сворачивает, разворачивает или закрывает другое окно.

Внедрено несколько новых мер безопасности в клиент Zoom для Windows версии 5.6, что снижает вероятность возникновения проблем у пользователей Windows. Мы продолжаем работу над внедрением дополнительных мер для решения этой проблемы на всех платформах, для которых это актуально.

Компания Zoom также исправила эту проблему для пользователей Ubuntu 1 марта 2021 года в Zoom Client для Linux версии 5.5.4. Пользователи могут применить текущие обновления или скачать новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Все версии Zoom Client для Windows
  • Версии Zoom Client для Linux до версии 5.5.4 на Ubuntu
  • Все версии клиента для Linux на других поддерживаемых дистрибутивах

Source: Обнаружено Майклом Страмезом (Michael Stramez) и Матиасом Дигом (Matthias Deeg).

ZSB-20002 08/14/2020 Windows DLL в сервисе обмена файлами Zoom Высокий CVE-2020-9767

Severity: Высокий

CVSS Score: 7.8

CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Description: Уязвимость, связанная с загрузкой Dynamic-link Library («DLL») в сервисе обмена файлами Zoom, могла позволить локальному пользователю Windows расширять полномочия пользователя NT AUTHORITY/SYSTEM.

Уязвимость обусловлена недостаточными проверками подписей динамически загруженных DLL при загрузке исполняемого модуля с подписью. Злоумышленник мог использовать эту уязвимость, введя вредоносную DLL в исполняемый модуль Zoom, и с ее помощью запустить процессы с расширенными полномочиями.

Компания Zoom решила эту проблему в версии клиента 5.0.4. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Версии установщика Zoom для Windows (ZoomInstallerFull.msi) до 5.0.4

Source: Коннор Скотт (Connor Scott) из службы безопасности контекстной информации

ZSB-20001 05/04/2020 IT-установщик Zoom для Windows Высокий CVE-2020-11443

Severity: Высокий

CVSS Score: Базовый: 8.4

CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Description: Из-за уязвимости в способе обработки установщиком Zoom для Windows соединений при удалении файлов локальный пользователь Windows мог удалять те файлы, которые обычно не удаляются пользователем.

Уязвимость обусловлена недостаточной проверкой соединений в каталоге, из которого установщик удаляет файлы и который доступен для записи данных стандартными пользователями. Злонамеренный локальный пользователь мог использовать эту уязвимость, создав в уязвимом каталоге соединение, ведущее к защищенным системным или другим файлам, на изменение которых пользователь не имеет прав. После запуска установщика Zoom для Windows с расширенными правами, как в случае его запуска через управляемое программное обеспечение развертывания, эти файлы удаляются из системы.

Компания Zoom решила эту проблему в версии клиента 4.6.10. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Версии установщика Zoom для Windows (ZoomInstallerFull.msi) до 4.6.10

Source: Благодаря группе тестирования внешних угроз компании Lockheed Martin.

ZSB-19003 07/12/2019 Служебный процесс ZoomOpener Высокий CVE-2019-13567

Severity: Высокий

CVSS Score: Базовый: 7.5

CVSS Vector String: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Description: Из-за уязвимости в Zoom desktop client для macOS злоумышленник мог загрузить вредоносное программное обеспечение на устройство жертвы.

Уязвимость обусловлена ненадлежащей проверкой ввода и загруженного программного обеспечения во вспомогательном приложении ZoomOpener. Злоумышленник, используя эту уязвимость, мог инициировать загрузку файлов устройством жертвы в интересах злоумышленника. Успешное использование этой уязвимости возможно только в том случае, если жертва ранее удалила Zoom Client.

Компания Zoom решила эту проблему в версии клиента 4.4.52595.0425. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Zoom desktop client для macOS до версии 4.4.52595.0425 и после версии 4.1.27507.0627

Source: Неизвестно.

ZSB-19002 07/09/2019 Настройка видео по умолчанию Низкий CVE-2019-13450

Severity: Низкий

CVSS Score: Базовый: 3.1

CVSS Vector String: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

Description: Из-за уязвимости в клиентах Zoom desktop client и RingCentral для macOS дистанционный неаутентифицированный злоумышленник мог принудить пользователя присоединиться к видеозвонку с включенной видеокамерой.

Уязвимость связана с недостаточным контролем авторизации для проверки систем, которые могут обмениваться данными с локальным веб-сервером Zoom, работающим через порт 19421. Злоумышленник, используя эту уязвимость, мог создать вредоносный веб-сайт, из-за деятельности которого Zoom Client принудительно автоматически присоединяется к конференции, организованной злоумышленником.

Добавлено новое диалоговое окно предварительного просмотра видео, которое появляется для просмотра пользователем перед присоединением к конференции в версии клиента 4.4.5, опубликованной 14 июля 2019 года. Это диалоговое окно позволяет пользователю включить или выключить видео при присоединении к конференции и предполагает настройку пользователем необходимых параметров по умолчанию для видео. Компания Zoom призывает клиентов установить самую новую версию Zoom Client, доступную на странице https://zoom.us/download.

Affected Products:

  • Zoom desktop client для macOS до версии 4.4.5
  • Клиент RingCentral для macOS до версии 4.4.5

Source: Обнаружено Джонатаном Лайтшу (Jonathan Leitschuh).

ZSB-19001 07/09/2019 Поражение, приводящее к прекращению работы: macOS Низкий CVE-2019-13449

Severity: Низкий

CVSS Score: Базовый: 3.1

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Description: Из-за уязвимости в Zoom desktop client для macOS дистанционный неаутентифицированный злоумышленник мог инициировать прекращение работы в системе жертвы.

Уязвимость связана с недостаточным контролем авторизации для проверки систем, которые могут обмениваться данными с локальным веб-сервером Zoom, работающим через порт 19421. Злоумышленник, используя эту уязвимость, мог создать вредоносный веб-сайт, из-за деятельности которого Zoom Client постоянно пытается присоединиться к конференции с недействительным идентификатором конференции. Бесконечный цикл приводит к потере работоспособности Zoom Client и может повлиять на производительность системы, на которой он работает.

Для решения этой проблемы компания Zoom 28 апреля 2019 года выпустила версию Zoom desktop client для macOS 4.4.2-hotfix. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Zoom desktop client для macOS до версии 4.4.5
  • Клиент RingCentral для macOS до версии 4.4.5

Source: Обнаружено Джонатаном Лайтшу (Jonathan Leitschuh).

ZSB-18001 11/30/2018 Несанкционированная обработка сообщений Высокий CVE-2018-15715

Severity: Высокий

CVSS Score: 7.4

CVSS Vector String: AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:L/CR:X/IR:H/AR:H/MAV:X/MAC:X/MPR:X/MUI:X/MS:X/MC:X/MI:X/MA:X

Description: Из-за уязвимости в Zoom Client дистанционный неаутентифицированный злоумышленник мог управлять такими функциями конференции, как исключение участников из конференции, отправка сообщений в чат и управление отключением микрофона участников. Если злоумышленник также был действительным участником конференции, и другой участник демонстрировал экран своего рабочего стола, злоумышленник также мог получить управление клавиатурой и мышью этого участника.

Уязвимость связана с тем, что внутренний механизм обмена сообщениями Zoom отправлял сообщения клиента протокола пользовательских дейтаграмм (UDP) и протокола управления передачей сервера (TCP) одному и тому же обработчику сообщений. Злоумышленник, используя эту уязвимость, мог создать и отправить пакеты UDP, которые интерпретируются как обрабатываемые сообщения из доверенного канала TCP, используемого авторизованными серверами Zoom.

С целью устранения этой уязвимости системы безопасности компания Zoom выпустила обновления клиента. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Affected Products:

  • Клиенты для Windows до версии 4.1.34460.1105
  • Клиенты для Mac до версии 4.1.34475.1105
  • Клиенты для Linux до версии 2.5.146186.1130
  • Клиенты для iOS до версии 4.1.18 (4460.1105)
  • Клиенты для Android до версии 4.1.34489.1105
  • Клиенты для Chrome до версии 3.3.1635.1130
  • Клиенты Zoom Room для Windows до версии 4.1.6 (35121.1201)
  • Клиенты Zoom Room для Mac до версии 4.1.7 (35123.1201)
  • Клиенты Zoom Room для Chrome до версии 3.6.2895.1130
  • Пакет средств для разработки ПО Zoom для Windows до версии 4.1.30384.1029
  • Пакет средств для разработки ПО Zoom для Mac до версии 4.1.34180.1026
  • Пакет средств для разработки ПО Zoom для iOS до версии 4.1.34076.1024
  • Пакет средств для разработки ПО Zoom для Android до версии 4.1.34082.1024
  • Zoom Virtual Room Connectors до версии 4.1.4813.1201
  • Zoom Meeting Connectors до версии 4.3.135059.1129
  • Коннекторы записей Zoom до версии 3.6.58865.1130
  • Коннектор Skype для бизнеса (S4B) в облаке Zoom обновлен 01.12.2018
  • Коннектор конференц-залов в облаке Zoom обновлен 06.12.2018

Source: Дэвид Уэллс (David Wells) из компании Tenable.

No results found