Сводки по безопасности

Zoom не консультирует отдельных клиентов по поводу влияния уязвимостей, поскольку оно описано в сводке по безопасности Zoom, а также не предоставляет дополнительных сведений об уязвимости. Мы рекомендуем пользователям обновлять программное обеспечение Zoom до последней версии, чтобы получать последние исправления и улучшения безопасности.

Уровень серьезности: High

Оценка по CVSS: 7.6

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H

Описание: Из-за возникновения риска раскрытия конфиденциальной информации в пакете средств для разработки ПО клиента Zoom до версии 5.15.5 авторизованные пользователи могут разрешить прекращение работы с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Пакет средств для разработки ПО клиента Zoom для Windows до версии 5.15.5
• Пакет средств для разработки ПО клиента Zoom для iOS до версии 5.15.5
• Пакет средств для разработки ПО клиента Zoom для Android до версии 5.15.5
• Пакет средств для разработки ПО клиента Zoom для macOS до версии 5.15.5
• Пакет средств для разработки ПО клиента Zoom для Linux до версии 5.15.5

Источник: По данным отдела наступательной безопасности Zoom.

Уровень серьезности: High

Оценка по CVSS: 7.9

Векторная последовательность CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

Описание: Из-за недостоверного пути поиска в Zoom Rooms для Windows до версии 5.15.5 авторизованные пользователи могут разрешить прекращение работы с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Zoom Rooms для Windows до версии 5.15.5

Источник: По данным sim0nsecurity.

Уровень серьезности: Medium

Оценка по CVSS: 5.5

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Описание: Из-за очистки текста хранилища от конфиденциальной информации в пакете средств для разработки ПО клиента Zoom для Windows до версии 5.15.0 авторизованные пользователи могут разрешить раскрытие информации с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Пакет средств для разработки ПО клиента Zoom для Windows до версии 5.15.0

Источник: По данным sim0nsecurity.

Уровень серьезности: Средний

Оценка по CVSS: 5.3

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Описание: Из-за ненадлежащей проверки входных данных в пакете средств для разработки ПО Zoom до версии 5.14.10 неавторизованные пользователи могут разрешить прекращение работы с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Пакет средств для разработки ПО клиента Zoom для Windows до версии 5.14.10
• Пакет средств для разработки ПО клиента Zoom для iOS до версии 5.14.10
• Пакет средств для разработки ПО клиента Zoom для Android до версии 5.14.10
• Пакет средств для разработки ПО клиента Zoom для macOS до версии 5.14.10
• Пакет средств для разработки ПО клиента Zoom для Linux до версии 5.14.10

Источник: По данным отдела наступательной безопасности Zoom.

Уровень серьезности: Высокий

Оценка по CVSS: 7,1

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L

Описание: Из-за обеспечения со стороны клиента безопасности на стороне сервера в клиентах Zoom до версии 5.14.10 авторизованные пользователи могут разрешить раскрытие информации с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Клиенты Zoom для Windows до версии 5.14.10
• Клиент Zoom для ПК для macOS до версии 5.14.10
• Клиент Zoom для ПК для Linux до версии 5.14.10
• Плагин и хост Zoom VDI до версии 5.14.10
• Мобильное приложение Zoom для Android до версии 5.14.10
• Мобильное приложение Zoom для iOS до версии 5.14.10
• Zoom Rooms для iPad до версии 5.14.10
• Zoom Rooms для Android до версии 5.14.10
• Zoom Rooms для Windows до версии 5.14.10
• Zoom Rooms для macOS до версии 5.14.10

Источник: По данным отдела наступательной безопасности Zoom.

Уровень серьезности: Высокий

Оценка по CVSS: 7,1

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H

Описание: Из-за неконтролируемого потребления ресурсов в пакете средств для разработки ПО Zoom до версии 5.14.7 неавторизованные пользователи могут разрешить прекращение работы с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Пакет средств для разработки ПО клиента Zoom для Windows до версии 5.14.7
• Пакет средств для разработки ПО клиента Zoom для iOS до версии 5.14.7
• Пакет средств для разработки ПО клиента Zoom для Android до версии 5.14.7
• Пакет средств для разработки ПО клиента Zoom для macOS до версии 5.14.7
• Пакет средств для разработки ПО клиента Zoom для Linux до версии 5.14.7

Источник: По данным отдела наступательной безопасности Zoom.

Уровень серьезности: Высокий

Оценка по CVSS: 8

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Описание: Из-за недостаточной проверки подлинности данных в клиентах Zoom для ПК для Windows до версии 5.14.5 авторизированные пользователи могут разрешить эскалацию привилегии с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Клиент Zoom для ПК для Windows до версии 5.14.5

Источник: По данным sim0nsecurity.

Уровень серьезности: Высокий

Оценка по CVSS: 8.4

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Описание: Из-за ненадлежащего контроля доступа в Zoom Rooms для Windows до версии 5.15.0 аутентифицированные пользователи могут разрешить эскалацию привилегии с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Zoom Rooms для Windows до версии 5.15.0

Источник: По данным sim0nsecurity.

Уровень серьезности: Высокий

Оценка по CVSS: 8.2

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Описание: Из-за недостоверного пути поиска в инструменте установки для Zoom Rooms для Windows до версии 5.15.0 аутентифицированные пользователи могут разрешить эскалацию привилегии с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Zoom Rooms для Windows до версии 5.15.0

Источник: По данным sim0nsecurity.

Уровень серьезности: Высокий

Оценка по CVSS: 7.3

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Описание: Из-за ненадлежащего управления привилегиями в Zoom Rooms для Windows до версии 5.14.5 аутентифицированные пользователи могут разрешить эскалацию привилегии с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Zoom Rooms для Windows до версии 5.14.5

Источник: По данным sim0nsecurity.

Уровень серьезности: Высокий

Оценка по CVSS: 8.2

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:H

Описание: Из-за ненадлежащей проверки входных данных в клиенте Zoom для ПК для Windows до версии 5.15.0 неавторизованные пользователи могут разрешить эскалацию привилегии с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Клиент Zoom для ПК для Windows до версии 5.15.0

Источник: По данным sim0nsecurity.

Уровень серьезности: Средний

Оценка по CVSS: 4.0

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Описание: Копирование в буфер без проверки размера вводимых данных в пакете средств для разработки ПО Zoom Meeting до версии 5.13.0 может позволить аутентифицированному пользователю потенциально разрешить атаку типа «отказ в обслуживании» с помощью локального доступа. Из-за этой проблемы может произойти аварийное завершение работы пакета средств для разработки ПО Zoom Meeting, и его потребуется перезапустить.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Пакет средств для разработки ПО Zoom Meeting до версии 5.13.0.

Источник: По данным Юджина Лима (Eugene Lim)

Уровень серьезности: Высокий

Оценка по CVSS: 8

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Описание: Недостаточная проверка подлинности данных в клиентах Zoom for Windows до версии 5.14.0 может позволить аутентифицированному пользователю потенциально разрешить повышение привилегии с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Клиенты Zoom for Windows до версии 5.14.0

Источник: По данным sim0nsecurity

Уровень серьезности: Средний

Оценка по CVSS: 4.9

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N

Описание: Ненадлежащая проверка входных данных в клиентах Zoom for Windows, Zoom Rooms, Zoom VDI Meeting для Windows до версии 5.14.0 может позволить аутентифицированному пользователю потенциально разрешить эскалацию привилегии с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Клиенты Zoom for Windows до версии 5.14.0
• Клиент Zoom Rooms для Windows до версии 5.14.0
• Клиенты Zoom VDI Meeting для Windows до версии 5.14.0

Источник: По данным Мохита Равата (Mohit Rawat), ASPIA InfoTech

Уровень серьезности: Высокий

Оценка по CVSS: 7.7

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:L

Описание: Инструмент установки клиента Zoom VDI до версии 5.14.0 имеет уязвимость, связанную с ненадлежащим контролем доступа. Злоумышленник может потенциально удалить локальные файлы без соответствующих разрешений.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Инструмент установки Zoom VDI Meeting для Windows до версии 5.14.0

Источник: По данным sim0nsecurity

Уровень серьезности: Низкий

Оценка по CVSS: 2

Векторная последовательность CVSS: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

Описание: Клиенты Zoom for Windows до версии 5.14.0 имеют уязвимость, связанную с ненадлежащим ограничением операций в пределах буфера памяти. Злоумышленник может вносить изменения в защищенный буфер памяти клиента Zoom, что потенциально может привести к проблемам с целостностью в клиенте Zoom.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Клиенты Zoom for Windows до версии 5.14.0

Источник: По данным sim0nsecurity

Уровень серьезности: Средний

Оценка по CVSS: 4.2

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

Описание: Клиенты Zoom до версии 5.13.10 имеют уязвимость, связанную со вставкой HTML. Злоумышленник может вставить HTML в отображаемое имя, из-за чего пользователь может перейти на вредоносный веб-сайт во время создания конференции.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Клиенты Zoom for Android, iOS, Linux, macOS и Windows до версии 5.13.10

Источник: По данным Мохита Равата (Mohit Rawat), ASPIA InfoTech

Уровень серьезности: Высокий

Оценка по CVSS: 8.3

Векторная последовательность CVSS: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

Описание: Клиенты Zoom до версии 5.13.5 содержат уязвимость, связанную с неправильным внедрением границы доверия. Если жертва сохраняет локальную запись в расположении SMB, а затем открывает ее по ссылке, представленной на веб-портале Zoom, злоумышленник, находящийся в смежной для клиента жертвы сети, может настроить вредоносный сервер SMB для ответа на запросы клиента, заставляя клиент выполнять контролируемые злоумышленником исполняемые файлы. В результате этого злоумышленник получает доступ к устройству и данным пользователя и осуществляет удаленное выполнение кода.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

* Изменения: 07.04.2023. Из раздела «Затронутые продукты» удалены упоминания Android и iOS.

Затрагиваемые продукты:

• Клиенты Zoom (для Linux, macOS и Windows) до версии 5.13.5
• Клиенты Zoom Rooms (для Linux, macOS и Windows) до версии 5.13.5
• Zoom Client for Meetings для VDI Windows до версии 5.13.10.

Источник: По данным отдела наступательной безопасности Zoom

Уровень серьезности: Высокий

Оценка по CVSS: 7.2

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:N/I:H/A:H

Описание: Установщики клиента Zoom для ИТ-администраторов Windows до версии 5.13.5 содержат уязвимость, связанную с повышением локальных привилегий. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью в цепочке атак во время установки для повышения своих привилегий до уровня пользователя СИСТЕМЫ.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Установщики Zoom Client for Meetings для ИТ-администраторов Windows до версии 5.13.5.

Источник: По данным sim0nsecurity

Уровень серьезности: Средний

Оценка по CVSS: 6.8

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N

Описание: Клиенты Zoom for Windows до версии 5.13.3, клиенты Zoom Rooms для Windows до версии 5.13.5 и клиенты Zoom VDI для Windows до версии 5.13.1 содержат уязвимость, связанную с раскрытием информации. Недавнее обновление в среде выполнения Microsoft Edge WebView2, используемое затронутыми клиентами Zoom, привело к передаче текста в онлайн-сервис проверки орфографии Microsoft, а не в локальное средство проверки орфографии Windows. Обновление Zoom позволяет устранить эту уязвимость путем отключения функции. Обновление среды выполнения Microsoft Edge WebView2 по меньшей мере до версии 109.0.1481.0 и перезапуск Zoom позволяют устранить эту уязвимость путем обновления поведения телеметрии Microsoft.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Клиенты Zoom for Windows до версии 5.13.3.
• Клиенты Zoom Rooms для Windows до версии 5.13.3.
• Клиенты Zoom VDI для Windows до версии 5.13.1.

Источник: По данным отдела безопасности Zoom

Уровень серьезности: Высокий

Оценка по CVSS: 7.8

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

Описание: Клиенты Zoom Rooms для Windows до версии 5.12.7 содержат уязвимость, связанную с повышением локальных привилегий. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью в цепочке атак для повышения своих привилегий до уровня пользователя СИСТЕМЫ.
Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Клиенты Zoom Rooms для Windows до версии 5.12.7.

Источник: По данным sim0nsecurity

Уровень серьезности: Высокий

Оценка по CVSS: 8.8

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Описание: Клиенты Zoom Rooms для macOS до версии 5.11.3 содержат уязвимость, связанную с повышением локальных привилегий. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью для эскалации своих привилегий до уровня root.
Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Клиенты Zoom Rooms для macOS до версии 5.11.3.

Источник: По данным Кирин (Kirin, Pwnrin)

Уровень серьезности: Высокий

Оценка по CVSS: 8.8

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Описание: Инструмент установки Zoom Rooms для Windows до версии 5.12.6 имеет уязвимость, связанную с повышением локальных привилегий. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью во время установки для повышения своих привилегий до уровня пользователя системы.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Инструмент установки Zoom Rooms для Windows до версии 5.12.6

Источник: По данным sim0nsecurity

Уровень серьезности: Высокий

Оценка по CVSS: 8.1

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L

Описание: Zoom Client for Meetings для 32-разрядной системы Windows до версии 5.12.6 и Zoom Rooms для конференц-залов до версии 5.12.6 подвержены уязвимости, связанной с DLL-инъекцией. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью для запуска произвольного кода в контексте клиента Zoom для ПК.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Zoom Client for Meetings для Windows (32-разрядной) до версии 5.12.6
• Клиент Zoom VDI Meeting для Windows (32-разрядной системы Windows) до версии 5.12.6
• Zoom Rooms для конференц-залов для Windows (32-разрядной) до версии 5.12.6

Источник: По данным sim0nsecurity

Уровень серьезности: Высокий

Оценка по CVSS: 8.8

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Описание: Решения Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.12.2 подвержены уязвимости, связанной с анализом URL. Перейдя по вредоносному URL на конференцию Zoom, пользователь может подключиться к произвольному сетевому адресу, что приведет к дополнительным атакам, в том числе перехватам сеансов.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.12.2
• Zoom Client for Meetings для VDI Windows до версии 5.12.2
• Zoom Rooms для конференц-залов (Android, iOS, Linux, macOS и Windows) до версии 5.12.2

Источник: По данным отдела безопасности Zoom

Уровень серьезности: Средний

Оценка по CVSS: 6,5

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Описание: MMR локального коннектора конференций Zoom до версии 4.8.20220916.131 имеет уязвимость, связанную с ненадлежащим контролем доступа. Вследствие этого злоумышленник, присутствующий на конференции или вебинаре, к которым ему разрешен доступ, может препятствовать тому, чтобы участники получали звук и видео, приводя таким образом к срывам конференций.

Что касается локальных развертываний Zoom, ИТ-администраторы могут поддерживать актуальное состояние своего программного обеспечения Zoom, следуя указаниям на странице https://support.zoom.us/hc/en-us/articles/360043960031

Затрагиваемые продукты:

• MMR локального коннектора конференций Zoom до версии 4.8.20220916.131

Источник: По данным отдела наступательной безопасности Zoom

Уровень серьезности: Высокий

Оценка по CVSS: 8.2

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Описание: MMR локального коннектора конференций Zoom до версии 4.8.20220815.130 имеет уязвимость, связанную с ненадлежащим контролем доступа. Вследствие этого злоумышленник может получить доступ к аудио- и видеопотоку конференции, к которой он присоединился без разрешения, что может привести к ее срыву.

Что касается локальных развертываний Zoom, ИТ-администраторы могут поддерживать актуальное состояние своего программного обеспечения Zoom, следуя указаниям на странице https://support.zoom.us/hc/en-us/articles/360043960031

Затрагиваемые продукты:

• MMR локального коннектора конференций Zoom до версии 4.8.20220815.130

Источник: По данным отдела безопасности Zoom

Уровень серьезности: Высокий

Оценка по CVSS: 8.8

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Описание: Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов), начиная с версии 5.7.3 и до версии 5.11.5, и Zoom Rooms для конференц-залов для macOS до версии 5.11.6 имеет уязвимость, связанную с процессом автоматического обновления. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью для эскалации своих привилегий до уровня root.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

* Изменения: 13.09.2022. Обновлены заголовок и описание, в раздел «Затронутые продукты» добавлено решение Zoom Rooms.

Затрагиваемые продукты:

• Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов), начиная с версии 5.7.3 и до версии 5.11.5
• Zoom Rooms для конференц-залов для macOS до версии 5.11.6

Источник: По данным Патрика Уордла (Patrick Wardle) из Objective-See

Уровень серьезности: Высокий

Оценка по CVSS: 7,1

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N

Описание: MMR локального коннектора конференций Zoom до версии 4.8.129.20220714 имеет уязвимость, связанную с ненадлежащим контролем доступа. Вследствие этого злоумышленник может присоединиться к конференции, к которой ему разрешен доступ, и при этом другие участники не будут его видеть, может допустить себя на конференцию из зала ожидания, стать организатором и сорвать конференцию иными действиями.

Что касается локальных развертываний Zoom, ИТ-администраторы могут поддерживать актуальное состояние своего программного обеспечения Zoom, следуя указаниям на странице https://support.zoom.us/hc/en-us/articles/360043960031

Затрагиваемые продукты:

• MMR локального коннектора конференций Zoom до версии 4.8.129.20220714

Источник: По данным отдела наступательной безопасности Zoom

Уровень серьезности: Высокий

Оценка по CVSS: 7.5

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Описание: Локальный контроллер зон (ZC) коннектора конференций Zoom до версии 4.8.20220419.112 не может надлежащим образом анализировать коды ошибок STUN, что может привести к повреждению памяти и позволит злоумышленнику выполнить аварийное завершение работы приложения. В версиях до 4.8.12.20211115 эту уязвимость также могут использовать для выполнения произвольного кода.

Что касается локальных развертываний Zoom, ИТ-администраторы могут поддерживать актуальное состояние своего программного обеспечения Zoom, следуя рекомендациям на странице https://support.zoom.us/hc/en-us/articles/360043960031

Затрагиваемые продукты:

• Локальный контроллер зон (ZC) коннектора конференций Zoom до версии 4.8.20220419.112

Источник: По данным отдела наступательной безопасности Zoom

Уровень серьезности: Высокий

Оценка по CVSS: 7,1

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

Описание: Пользователи загружают инструмент установки Zoom Opener на странице запуска конференции при попытке присоединиться к конференции без установки Zoom Client for Meetings. Инструмент установки Zoom Opener для Zoom Client for Meetings до версии 5.10.3 и Zoom Rooms для конференц-залов для Windows до версии 5.10.3 подвержен атакам типа «DLL-инъекция». Эта уязвимость может использоваться для запуска произвольного кода на узле жертвы.

Пользователи могут помочь обезопасить себя, удалив более ранние версии и запуская последние версии инструмента установки Zoom Opener с помощью кнопки «Загрузить сейчас» на странице запуска конференции. Кроме того, пользователи могут защитить себя, загрузив новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Zoom Client for Meetings для Windows до версии 5.10.3.
• Все Zoom Rooms для конференц-залов для Windows до версии 5.10.3.

Источник: По данным Джеймса Цз Ко Юнга (James Tsz Ko Yeung)

Уровень серьезности: Высокий

Оценка по CVSS: 7.5

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Описание: Zoom Client for Meetings для Windows до версии 5.10.0 и Zoom Rooms для конференц-залов для Windows до версии 5.10.0 не удается надлежащим образом проверить версию установки во время процесса обновления. Эту проблему могут использовать в более сложной атаке с целью обманным путем заставить пользователя понизить версию Zoom Desktop Client до менее безопасной.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Все версии Zoom Client for Meetings для Windows до версии 5.10.0
• Все Zoom Rooms для конференц-залов для Windows до версии 5.10.0

Источник: По данным Ивана Фратрика из Google Project Zero

Уровень серьезности: Высокий

Оценка по CVSS: 8.1

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Описание: Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.10.0 не удается надлежащим образом проанализировать XML-стансы в XMPP-сообщениях. Благодаря этому злоумышленник может выйти за рамки контекста текущего XMPP-сообщения и создать новый контекст сообщения, чтобы платформа клиента пользователя, получающего сообщение, выполняла разнообразные действия. Эту проблему могут использовать в более сложной атаке в целях подделки XMPP-сообщений из сервера.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.10.0

Источник: По данным Ивана Фратрика из Google Project Zero

Уровень серьезности: Высокий

Оценка по CVSS: 7.9

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

Описание: Zoom Client for Meetings для Windows до версии 5.9.7, Zoom Rooms для конференц-зала для Windows до версии 5.10.0, плагины Zoom для Microsoft Outlook для Windows до версии 5.10.3 и Zoom Meeting Client для VDI для Windows до версии 5.9.6 были подвержены эскалации локальных привилегий в процессе восстановления программы установки. Злоумышленник мог использовать это для потенциального удаления файлов или папок системного уровня, вызывая проблемы с целостностью или доступностью на хост-машине пользователя.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Zoom Client for Meetings для Windows до версии 5.9.7
• Все версии Zoom Rooms для конференц-залов для Windows до версии 5.10.0
• Все версии плагинов Zoom для Microsoft Outlook для Windows до версии 5.10.3
• Все версии Zoom Meeting Client для VDI для Windows до версии 5.9.6

Источник: По данным Zero Day Initiative

Уровень серьезности: Средний

Оценка по CVSS: 4.7

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L

Описание: Функция чата Zoom Client for Meetings была подвержена атакам с использованием ZIP-бомб в следующих версиях продукта: для Android до версии 5.8.6, для iOS до версии 5.9.0, для Linux до версии 5.8.6, для macOS до версии 5.7.3 и Windows до версии 5.6.3. Это могло привести к проблемам с доступностью на узле Zoom Client for Meetings ввиду исчерпания системных ресурсов.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Все версии Zoom Client for Meetings для Android до версии 5.8.6
• Все версии Zoom Client for Meetings для iOS до версии 5.9.0
• Все версии Zoom Client for Meetings для Linux до версии 5.8.6
• Все версии Zoom Client for Meetings для macOS до версии 5.7.3
• Все версии Zoom Client for Meetings для Windows до версии 5.6.3

Источник: По данным Джонни Ву из Walmart Global Tech

Уровень серьезности: Средний

Оценка по CVSS: 5.3

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

Описание: В Keybase Client для Windows до версии 5.6.0 была обнаружена уязвимость при выполнении пользователем команды «keybase git lfs-config» в командной строке. До версии 5.6.0 злоумышленник с правами на запись в гит-репозиторий пользователя мог потенциально использовать эту уязвимость для выполнения произвольных команд Windows в локальной системе пользователя.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Keybase со всеми текущими обновлениями безопасности на странице https://keybase.io/download.

Затрагиваемые продукты:

• Все версии Keybase Client для Windows до версии 5.6.0

Источник: По данным RyotaK

Уровень серьезности: Средний

Оценка по CVSS: 5.3

Векторная последовательность CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Описание: В продуктах, перечисленных в разделе «Затронутые продукты» этих сводок по безопасности, была обнаружена уязвимость, потенциально раскрывающая состояние памяти процесса. Эту проблему потенциально можно использовать для получения сведений из случайных областей памяти продукта.

Компания Zoom исправила эту проблему в последних выпусках продуктов, перечисленных в разделе ниже. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности.

Затрагиваемые продукты:

• Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.8.4
• Zoom Client for Meetings для BlackBerry (Android и iOS) до версии 5.8.1
• Zoom Client for Meetings для Intune (Android и iOS) до версии 5.8.4
• Zoom Client for Meetings для Chrome OS до версии 5.0.1
• Zoom Rooms для конференц-залов (Android, AndroidBali, macOS и Windows) до версии 5.8.3
• Контроллеры для Zoom Rooms (Android, iOS и Windows) до версии 5.8.3
• Zoom Meeting Client для VDI Windows до версии 5.8.4
• Плагины виртуального рабочего стола Azure VDI для Zoom (Windows x86 и x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) до версии 5.8.4.21112
• Плагины VDI Citrix для Zoom (Windows x86 и x64, универсальное средство установки и удаления программ на Mac, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) до версии 5.8.4.21112
• Плагины VDI VMware для Zoom (Windows x86 и x64, универсальное средство установки и удаления программ на Mac, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) до версии 5.8.4.21112
• Пакет средств для разработки ПО Zoom Meeting для Android до версии 5.7.6.1922
• Пакет средств для разработки ПО Zoom Meeting для iOS до версии 5.7.6.1082
• Пакет средств для разработки ПО Zoom Meeting для Windows до версии 5.7.6.1081
• Пакет средств для разработки ПО Zoom Meeting для Mac до версии 5.7.6.1340
• Пакет средств для разработки ПО для видеосвязи Zoom (Android, iOS, macOS и Windows) до версии 1.1.2
• Локальный коннектор конференций Zoom до версии 4.8.12.20211115
• MMR локального коннектора конференций Zoom до версии 4.8.12.20211115
• Локальный коннектор записи Zoom до версии 5.1.0.65.20211116
• Локальный коннектор виртуальных залов Zoom до версии 4.4.7266.20211117
• Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5692.20211117
• Zoom Hybrid Zproxy до версии 1.0.1058.20211116
• Zoom Hybrid MMR до версии 4.6.20211116.131_x86-64

Источник: По данным Натали Сильванович (Natalie Silvanovich) из Google Project Zero

Уровень серьезности: Высокий

Оценка по CVSS: 7.2

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

Описание: В Keybase Client для Windows до версии 5.7.0 содержалась уязвимость выхода за пределы каталога при проверке имени файла, загруженного в папку команды. Пользователь-злоумышленник мог загрузить файл со специальным именем в общую папку для выполнения приложения, не предназначенного для этой хост-машины. Использование пользователем-злоумышленником этой ошибки с функцией совместного доступа в Keybase Client к открытой папке могло привести к удаленному выполнению кода.

Эта ошибка исправлена в Keybase Client для Windows в выпуске 5.7.0. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Keybase со всеми текущими обновлениями безопасности на странице https://keybase.io/download.

Затрагиваемые продукты:

• Keybase Client для Windows до версии 5.7.0

Источник: По данным m4t35z

Уровень серьезности: Средний

Оценка по CVSS: 4.7

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N

Описание: Установщик Zoom Client for Meetings для Windows до версии 5.5.4 не проверяет надлежащим образом подпись файлов с расширениями .msi, .ps1 и .bat. Это могло привести к установке злоумышленником вредоносного ПО на компьютере клиента.

Компания Zoom исправила эту проблему в выпуске 5.5.4 Zoom Client for Meetings для Windows. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Все версии Zoom Client for Meetings для Windows до версии 5.5.4

Источник: По данным Лорена Делосье (Laurent Delosieres) из ManoMano

Уровень серьезности: Средний

Оценка по CVSS: 4.0

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Описание: Для продуктов, перечисленных в разделе «Затронутые продукты» этих сводок по безопасности, в службе входа в веб-консоль не удается проверить отправку неопределенного значения во время авторизации. Это могло привести к аварийному завершению службы входа.

Затрагиваемые продукты:

• Локальный контроллер коннектора конференций Zoom до версии 4.6.239.20200613
• MMR локального коннектора конференций Zoom до версии 4.6.239.20200613
• Локальный коннектор записи Zoom до версии 3.8.42.20200905
• Локальный коннектор виртуальных залов Zoom до версии 4.4.6344.20200612
• Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5492.20200616

Источник: По данным Джереми Брауна

Уровень серьезности: Средний

Оценка по CVSS: 5.5

Векторная последовательность CVSS: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N

Описание: Web Portal административных настроек сетевого адреса для локального коннектора конференций Zoom до версии 4.6.360.20210325, MMR локального коннектора конференций Zoom до версии 4.6.360.20210325, локального коннектора записи Zoom до версии 3.8.44.20210326, локального коннектора виртуальных залов Zoom до версии 4.4.6752.20210326 и локального балансировщика нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5495.20210326 не может проверить значение ввода, отправленное в запросах на обновление конфигурации сети, что может привести ко вводу администраторами Web Portal удаленной команды в локальной среде.

Затрагиваемые продукты:

• Локальный коннектор конференций Zoom до версии 4.6.360.20210325
• MMR локального коннектора конференций Zoom до версии 4.6.360.20210325
• Локальный коннектор записи Zoom до версии 3.8.44.20210326
• Локальный коннектор виртуальных залов Zoom до версии 4.4.6752.20210326
• Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5495.20210326

Источник: По данным Егора Димитренко (Egor Dimitrenko) из Positive Technologies

Уровень серьезности: Средний

Оценка по CVSS: 7.2

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Описание: На странице сетевого прокси Web Portal для локального контроллера коннектора конференций Zoom до версии 4.6.348.20201217, MMR локального коннектора конференций Zoom до версии 4.6.348.20201217, локального коннектора записи Zoom до версии 3.8.42.20200905, локального коннектора виртуальных залов Zoom до версии 4.4.6620.20201110 и локального балансировщика нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5495.20210326 не удается проверить значение ввода, отправленное в запросах на обновление конфигурации сетевого прокси, что может привести ко вводу администраторами Web Portal удаленной команды в локальной среде.

Затрагиваемые продукты:

• Локальный контроллер коннектора конференций Zoom до версии 4.6.348.20201217
• MMR локального коннектора конференций Zoom до версии 4.6.348.20201217
• Локальный коннектор записи Zoom до версии 3.8.42.20200905
• Локальный коннектор виртуальных залов Zoom до версии 4.4.6620.20201110
• Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5495.20210326

Источник: По данным Егора Димитренко (Egor Dimitrenko) из Positive Technologies

Уровень серьезности: Средний

Оценка по CVSS: 4.4

Векторная последовательность CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Описание: В процессе установки всех версий Zoom Client for Meetings для Windows до версии 5.4.0 можно запустить Internet Explorer. При запуске программы установки с повышенными привилегиями (например, SCCM) это может привести к эскалации локальных привилегий.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Zoom Client for Meetings для Windows до версии 5.4.0

Источник: По данным группы тестирования внешних угроз компании Lockheed Martin

Уровень серьезности: Высокий

Оценка по CVSS: 7.0

Векторная последовательность CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Описание: Каталог с правами на запись для пользователя, созданный в процессе установки Zoom Client for Meetings для Windows до версии 5.3.2, можно перенаправить в другое расположение с помощью функции соединения. Так злоумышленник может перезаписать файлы, которые в противном случае пользователь с ограниченными правами не смог бы изменить.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Zoom Client for Meetings для Windows до версии 5.3.2

Источник: По данным группы тестирования внешних угроз компании Lockheed Martin

Уровень серьезности: Высокий

Оценка по CVSS: 8.1

Векторная последовательность CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H

Описание: Переполнение буфера на основе кучи существует во всех версиях Zoom Client for Meetings для рабочего стола, предшествующих версии 5.6.3. Сведения об этом наблюдении были представлены в Zoom в рамках Pwn20wn 2021 в Ванкувере. Подавление цепочки атак, продемонстрированной во время Pwn20wn, было реализовано в изменении на стороне сервера в инфраструктуре Zoom 09.04.2021.

При объединении с двумя другими проблемами, о которых сообщалось во время Pwn20wn (ненадлежащая проверка URL при отправке сообщения XMPP (расширяемый протокол обмена сообщениями и информацией о присутствии) для доступа к URL приложения Zoom Marketplace и неверная проверка URL при отображении изображения GIPHY) злоумышленник может добиться удаленного выполнения кода на целевом компьютере.
Для успешного выполнения этой атаки целевой объект должен предварительно принять запрос соединения от злоумышленника или участвовать в чате с несколькими пользователями, в числе которых присутствует злоумышленник. Цепочка атак, продемонстрированная во время Pwn20wn, была достаточно очевидной для целевых объектов, поэтому об этой проблеме уведомили несколько клиентов.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Все версии Zoom Client for Meetings для рабочего стола, предшествующие версии 5.6.3.

Источник: Сведения предоставили Даан Кеупер (Daan Keuper) и Тийс Алькемад (Thijs Alkemade) из компании Computest во время инициативы нулевого дня.

Уровень серьезности: Высокий

Оценка по CVSS: 7.8

Векторная последовательность CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Описание: Уязвимость, связанная с загрузкой Dynamic-link Library («DLL») в сервисе обмена файлами Zoom, могла позволить локальному пользователю Windows расширять полномочия пользователя NT AUTHORITY/SYSTEM.

Уязвимость обусловлена недостаточными проверками подписей динамически загруженных DLL при загрузке исполняемого модуля с подписью. Злоумышленник мог использовать эту уязвимость, введя вредоносную DLL в исполняемый модуль Zoom, и с ее помощью запустить процессы с расширенными полномочиями.

Компания Zoom решила эту проблему в версии клиента 5.0.4. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Версии установщика Zoom для Windows (ZoomInstallerFull.msi) до 5.0.4

Источник: Коннор Скотт (Connor Scott) из службы безопасности контекстной информации

Уровень серьезности: Высокий

Оценка по CVSS: Базовый: 7.5

Векторная последовательность CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Описание: Из-за уязвимости в Zoom desktop client для macOS злоумышленник мог загрузить вредоносное программное обеспечение на устройство жертвы.

Уязвимость обусловлена ненадлежащей проверкой ввода и загруженного программного обеспечения во вспомогательном приложении ZoomOpener. Злоумышленник, используя эту уязвимость, мог инициировать загрузку файлов устройством жертвы в интересах злоумышленника. Успешное использование этой уязвимости возможно только в том случае, если жертва ранее удалила Zoom Client.

Компания Zoom решила эту проблему в версии клиента 4.4.52595.0425. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Zoom desktop client для macOS до версии 4.4.52595.0425 и после версии 4.1.27507.0627

Источник: Неизвестно.

Уровень серьезности: Низкий

Оценка по CVSS: Базовый: 3.1

Векторная последовательность CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Описание: Из-за уязвимости в Zoom desktop client для macOS дистанционный неаутентифицированный злоумышленник мог инициировать прекращение работы в системе жертвы.

Уязвимость связана с недостаточным контролем авторизации для проверки систем, которые могут обмениваться данными с локальным веб-сервером Zoom, работающим через порт 19421. Злоумышленник, используя эту уязвимость, мог создать вредоносный веб-сайт, из-за деятельности которого Zoom Client постоянно пытается присоединиться к конференции с недействительным идентификатором конференции. Бесконечный цикл приводит к потере работоспособности Zoom Client и может повлиять на производительность системы, на которой он работает.

Для решения этой проблемы компания Zoom 28 апреля 2019 года выпустила версию Zoom desktop client для macOS 4.4.2-hotfix. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

• Zoom desktop client для macOS до версии 4.4.5
• Клиент RingCentral для macOS до версии 4.4.5

Источник: Обнаружено Джонатаном Лайтшу (Jonathan Leitschuh).