Trust Center Security, Privacy, Blogs Additional Resources

Güvenlik Bülteni

Tüm Önem Dereceleri
  • Tüm Önem Dereceleri
  • Kritik
  • Yüksek
  • Orta
  • Düşük
Tüm Ortak Güvenlik Açıkları ve Teşhirler (CVE)
  • Tüm Ortak Güvenlik Açıkları ve Teşhirler (CVE)
  • CVE-2024-24691
  • CVE-2024-24690
  • CVE-2024-24699
  • CVE-2024-24698
  • CVE-2024-24697
  • CVE-2024-24696
  • CVE-2024-24695
  • CVE-2023-49647
  • CVE-2023-49646
  • CVE-2023-43586
  • CVE-2023-43585
  • CVE-2023-43583
  • CVE-2023-43582
  • CVE-2023-43591
  • CVE-2023-43590
  • CVE-2023-43588
  • CVE-2023-39199
  • CVE-2023-39206
  • CVE-2023-39205
  • CVE-2023-39204
  • CVE-2023-39203
  • CVE-2023-39202
  • CVE-2023-39201
  • CVE-2023-39208
  • CVE-2023-39215
  • CVE-2023-39209
  • CVE-2023-39214
  • CVE-2023-39213
  • CVE-2023-39212
  • CVE-2023-39211
  • CVE-2023-39210
  • CVE-2023-39218
  • CVE-2023-39217
  • CVE-2023-39216
  • CVE-2023-36535
  • CVE-2023-36534
  • CVE-2023-36533
  • CVE-2023-36532
  • CVE-2023-36541
  • CVE-2023-36540
  • CVE-2023-36538
  • CVE-2023-36537
  • CVE-2022-36928
  • CVE-2022-36926
    CVE-2022-36927
  • CVE-2022-36925
  • CVE-2022-36924
  • CVE-2022-28768
  • CVE-2022-28766
  • CVE-2022-28764
  • CVE-2022-28763
  • CVE-2022-28762
  • CVE-2022-28761
  • CVE-2022-28760
  • CVE-2022-28758
    CVE-2022-28759
  • CVE-2022-28757
  • CVE-2022-28756
  • CVE-2022-28751
  • CVE-2022-28753
    CVE-2022-28754
  • CVE-2022-28755
  • CVE-2022-28750
  • CVE-2022-28749
  • CVE-2022-22788
  • CVE-2022-22787
  • CVE-2022-22786
  • CVE-2022-22785
  • CVE-2022-22784
  • CVE-2022-22783
  • CVE-2022-22782
  • CVE-2022-22781
  • CVE-2022-22780
  • CVE-2022-22779
  • CVE-2021-34426
  • CVE-2021-34425
  • CVE-2021-34424
  • CVE-2021-34423
  • CVE-2021-34422
  • CVE-2021-34421
  • CVE-2021-34420
  • CVE-2021-34419
  • CVE-2021-34418
  • CVE-2021-34417
  • CVE-2021-34416
  • CVE-2021-34415
  • CVE-2021-34414
  • CVE-2021-34413
  • CVE-2021-34412
  • CVE-2021-34411
  • CVE-2021-34408
  • CVE-2021-33907
  • CVE-2021-30480
  • CVE-2021-28133
  • CVE-2020-9767
  • CVE-2020-11443
  • CVE-2019-13567
  • CVE-2019-13450
  • CVE-2019-13449
Ara

Güvenlik Bülteni

Zoom, Zoom Güvenlik Bülteni nedeniyle bireysel müşterilere güvenlik açığının etkileri hakkında yönlendirme sağlamamakta ve bir güvenlik açığı hakkında ek bilgiler sunmamaktadır. Kullanıcıların en yeni düzeltme ve güvenlik iyileştirmelerini edinmek için Zoom yazılımını son sürümüne güncellemelerini öneririz.

ZSB Tarih Başlık Önem Derecesi CVE (varsa)
ZSB-24008 02/13/2024 Windows için Zoom Masaüstü İstemcisi, Windows için Zoom VDI İstemcisi ve Windows İçin Zoom Toplantı SDK'sı - Uygunsuz Giriş Doğrulaması Kritik CVE-2024-24691

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 9.6

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Açıklama: Windows için Zoom Masaüstü İstemcisi'ndeki, Windows için Zoom VDI İstemcisindeki ve Windows için Zoom Toplantı SDK'sındaki uygunsuz giriş doğrulaması, kimliği doğrulanmamış bir kullanıcının ağ erişimi yoluyla ayrıcalıkları yükseltebilmesine yol açabilir.

Kullanıcılar, https://zoom.us/tr/download adresinde bulunan en yeni güncellemeleri uygulayarak kendi güvenliklerini sağlayabilir.

Etkilenen Ürünler:

  • 5.15.5 sürümünden önceki Windows İçin Zoom Masaüstü İstemcisi
  • macOS için Zoom Desktop Client yalnızca 5.15.0 sürümü
  • Linux için Zoom Desktop Client yalnızca 5.15.0 sürümü
  • iOS için Zoom Mobil Uygulaması yalnızca 5.15.0 sürümü

Kaynak: Zoom Saldırı Güvenlik tarafından bildirilmiştir.

ZSB-24007 02/13/2024 Zoom İstemcileri - Uygunsuz Giriş Doğrulaması Orta CVE-2024-24690

Önem Derecesi: Orta

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 5.4

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

Açıklama: Bazı Zoom istemcilerindeki uygunsuz giriş doğrulaması, kimliği doğrulanmış bir kullanıcının ağ erişimi yoluyla bir hizmeti reddedebilmesine olanak tanıyabilir.

Kullanıcılar, https://zoom.us/tr/download adresinde bulunan en yeni güncellemeleri uygulayarak kendi güvenliklerini sağlayabilir.

Etkilenen Ürünler:

  • 5.15.5 sürümünden önceki Windows İçin Zoom İstemci SDK'sı
  • 5.15.5 sürümünden önceki iOS İçin Zoom İstemci SDK'sı
  • 5.15.5 sürümünden önceki Android İçin Zoom İstemci SDK'sı
  • 5.15.5 sürümünden önceki macOS İçin Zoom İstemci SDK'sı
  • 5.15.5 sürümünden önceki Linux İçin Zoom İstemci SDK'sı

Kaynak: Zoom Saldırı Güvenlik tarafından bildirilmiştir.

ZSB-24006 02/13/2024 Zoom İstemcileri - İşletme Mantığı Hatası Orta CVE-2024-24699

Önem Derecesi: Orta

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 6.5

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Açıklama: Bazı Zoom istemcileri için toplantı içi sohbet ile ilgili bir işletme mantığı hatası, kimliği doğrulanmış bir kullanıcının ağ erişimi üzerinden bilgileri ifşa etmesine olanak tanıyabilir.

Kullanıcılar, https://zoom.us/tr/download adresinde bulunan en yeni güncellemeleri uygulayarak kendi güvenliklerini sağlayabilir.

Etkilenen Ürünler:

  • 5.15.2 sürümünden önceki Windows İçin Zoom Masaüstü İstemcisi
  • 5.15.2 sürümünden önceki Zoom VDI İstemcisi
  • 5.12.6 öncesi Windows (32 bit) için Zoom Rooms for Conference Room sürümleri
  • 5.0.1 öncesi Chrome işletim sistemi için Zoom Client for Meetings sürümleri
  • 5.8.3 öncesi Zoom Rooms for Conference Room (Android, AndroidBali, macOS ve Windows için) sürümleri
  • 5.8.3 öncesi Zoom Rooms için Kontrolörler (Android, iOS ve Windows) sürümleri
  • 5.8.4 öncesi Zoom VDI Windows Meeting Client sürümleri
  • 5.8.4.21112 öncesi Zoom VDI Azure Sanal Masaüstü Eklentileri (Windows x86 veya x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64 için) sürümleri

Kaynak: Zoom Saldırı Güvenlik tarafından bildirilmiştir.

ZSB-24005 02/13/2024 Zoom İstemcileri - Uygunsuz Kimlik Doğrulaması Orta CVE-2024-24698

Önem Derecesi: Orta

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 4.9

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

Açıklama: Bazı Zoom istemcilerindeki uygunsuz kimlik doğrulaması, ayrıcalıklı bir kullanıcının yerel erişim yoluyla bilgileri ifşa etmesine olanak tanıyabilir.

Kullanıcılar, https://zoom.us/tr/download adresinde bulunan en yeni güncellemeleri uygulayarak kendi güvenliklerini sağlayabilir.

Etkilenen Ürünler:

  • 5.15.5 sürümünden önceki Windows için Zoom Rooms
  • 5.12.6 öncesi Zoom VDI Windows Meeting Client sürümleri
  • 5.12.6 öncesi Zoom Rooms for Conference Room (Android, iOS, Linux, macOS ve Windows için) sürümleri
  • 5.7.3 öncesi tüm macOS için Zoom Client for Meetings sürümleri
  • 5.6.3 öncesi tüm Windows için Zoom Client for Meetings sürümleri
  • 5.8.3 öncesi Zoom Rooms için Kontrolörler (Android, iOS ve Windows için) sürümleri
  • 5.8.4 öncesi Zoom VDI Windows Meeting Client sürümleri
  • 5.8.4.21112 öncesi Zoom VDI Azure Sanal Masaüstü Eklentileri (Windows x86 veya x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64 için) sürümleri

Kaynak: Zoom Saldırı Güvenlik tarafından bildirilmiştir.

ZSB-24004 02/13/2024 Zoom İstemcileri - Güvenilir Olmayan Arama Yolu Yüksek CVE-2024-24697

Önem Derecesi: Yüksek

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.2

CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H

Açıklama: Bazı Zoom 32 bit Windows istemcilerindeki güvenilir olmayan arama yolu, kimliği doğrulanmış bir kullanıcının yerel erişim üzerinden bir ayrıcalık yükseltme gerçekleştirmesine yol açabilir.

Kullanıcılar, https://zoom.us/tr/download adresinde bulunan en yeni güncellemeleri uygulayarak kendi güvenliklerini sağlayabilir.

Etkilenen Ürünler:

  • 5.17.0 sürümünden önceki Windows İçin Zoom Masaüstü İstemcisi
  • 5.15.5 sürümünden önceki Windows için Zoom Rooms
  • 5.14.0 sürümü öncesindeki Zoom VDI Windows Meeting istemcileri
  • 5.0.1 öncesi Chrome işletim sistemi için Zoom Client for Meetings sürümleri

Kaynak: sim0nsecurity tarafından bildirildi.

ZSB-24003 02/13/2024 Windows için Zoom Masaüstü İstemcisi, Windows için Zoom VDI İstemcisi ve Windows İçin Zoom Toplantı SDK'sı - Uygunsuz Giriş Doğrulaması Orta CVE-2024-24696

Önem Derecesi: Orta

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 6.8

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N

Açıklama: Windows için Zoom Masaüstü İstemcisi, Windows için Zoom VDI İstemcisi ve Windows için Zoom Toplantı SDK'sı için toplantı içi sohbette uygunsuz giriş doğrulaması, kimliği doğrulanmış bir kullanıcının ağ erişimi üzerinden bilgileri ifşa etmesine yol açabilir.

Kullanıcılar, https://zoom.us/tr/download adresinde bulunan en yeni güncellemeleri uygulayarak kendi güvenliklerini sağlayabilir.

Etkilenen Ürünler:

  • 5.15.0 sürümünden önceki Windows İçin Zoom İstemci SDK'sı
  • 5.14.0 sürümü öncesindeki Zoom Rooms for Windows istemcileri
  • 5.14.0 sürümü öncesindeki Zoom VDI Windows Meeting istemcileri

Kaynak: Shmoul tarafından bildirilmiştir.

ZSB-24002 02/13/2024 Windows için Zoom Masaüstü İstemcisi, Windows için Zoom VDI İstemcisi ve Windows İçin Zoom Toplantı SDK'sı - Uygunsuz Giriş Doğrulaması Orta CVE-2024-24695

Önem Derecesi: Orta

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 6.8

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N

Açıklama: Windows için Zoom Masaüstü İstemcisi, Windows için Zoom VDI İstemcisi ve Windows için Zoom Toplantı SDK'sında uygunsuz giriş doğrulaması, kimliği doğrulanmış bir kullanıcının ağ erişimi üzerinden bilgileri ifşa etmesine yol açabilir.


Kullanıcılar, https://zoom.us/tr/download adresinde bulunan en yeni güncellemeleri uygulayarak kendi güvenliklerini sağlayabilir.

Etkilenen Ürünler:

  • 5.17.0 sürümünden önceki Windows İçin Zoom Masaüstü İstemcisi
  • 5.14.10 sürümünden önceki macOS İçin Zoom Masaüstü İstemcisi
  • 5.14.10 sürümünden önceki Linux İçin Zoom Masaüstü İstemcisi

Kaynak: Shmoul tarafından bildirilmiştir.

ZSB-24001 01/09/2024 Windows için Zoom Masaüstü İstemcisi, Windows için Zoom VDI İstemcisi ve Windows İçin Zoom SDK'ları - Uygunsuz Erişim Kontrolü Kritik CVE-2023-49647

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.8

CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Açıklama: 5.16.10 sürümü öncesinde Windows için Zoom Masaüstü İstemcisi, Vindows için Zoom VDI İstemcisi ve Windows için Zoom SDK'sındaki uygunsuz erişim kontrolü, kimliği doğrulanmış bir kullanıcının yerel erişim yoluyla ayrıcalıkları yükseltebilmesine yol açabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.16.10 sürümünden önceki Windows İçin Zoom Masaüstü İstemcisi
  • 5.14.10 sürümünden önceki iOS İçin Zoom İstemci SDK'sı
  • 5.14.10 sürümünden önceki Android İçin Zoom İstemci SDK'sı
  • 5.14.10 sürümünden önceki macOS İçin Zoom İstemci SDK'sı

Kaynak: sim0nsecurity tarafından bildirildi.

ZSB-23062 12/12/2023 Zoom İstemcileri - Uygunsuz Kimlik Doğrulaması Kritik CVE-2023-49646

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 5.4

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

Açıklama: 5.16.5 sürümünden önceki bazı Zoom istemcilerinde gerçekleşen uygunsuz giriş doğrulaması, kimliği doğrulanmış bir kullanıcının ağ erişimi yoluyla bir hizmeti reddedebilmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.16.5 sürümünden önceki Windows İçin Zoom Masaüstü İstemcisi
  • 5.10.7 öncesi Zoom VDI Windows Meeting Clients sürümleri
  • 5.8.4 öncesi intune (Android ve iOS) için Zoom Client for Meetings sürümleri
  • 5.0.1 öncesi Chrome işletim sistemi için Zoom Client for Meetings sürümleri
  • 5.8.3 öncesi Zoom Rooms for Conference Room (Android, AndroidBali, macOS ve Windows için) sürümleri
  • 5.8.3 öncesi Zoom Rooms için Kontrolörler (Android, iOS ve Windows) sürümleri
  • 5.8.4 öncesi Zoom VDI Windows Meeting Client sürümleri

Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir.

ZSB-23059 12/12/2023 Windows için Zoom Masaüstü İstemcisi, Windows için Zoom VDI İstemcisi ve Windows İçin Zoom SDK'ları - Yol Ağ Geçişi Kritik CVE-2023-43586

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.3

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N

Açıklama: Windows için Zoom Masaüstü İstemcisi, Vindows için Zoom VDI İstemcisi ve Windows için Zoom SDK'larındaki yol ağ geçişi, kimliği doğrulanmış bir kullanıcının ağ erişimi yoluyla ayrıcalıkları yükseltebilmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.16.5 sürümünden önceki Windows İçin Zoom Masaüstü İstemcisi
  • 5.14.10 sürümünden önceki macOS İçin Zoom Masaüstü İstemcisi
  • 5.14.10 sürümünden önceki Linux İçin Zoom Masaüstü İstemcisi
  • 5.14.10 sürümünden önceki Zoom VDI Ana Bilgisayarı ve Eklentisi

Kaynak: Shmoul tarafından bildirilmiştir.

ZSB-23058 12/12/2023 iOS için Zoom Mobil Uygulaması ve iOS için SDK'lar - Uygunsuz Erişim Kontrolü Kritik CVE-2023-43585

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.1

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L

Açıklama: 5.16.5 sürümünden önceki iOS için Zoom Mobil Uygulamasında ve iOS için SDK'lardaki uygunsuz erişim kontrolü, kimliği doğrulanmış bir kullanıcının ağ erişimi üzerinden bilgileri ifşa etmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.16.5 sürümünden önceki iOS İçin Zoom Mobil Uygulaması
  • 5.11.6 öncesi macOS Konferans Odası İçin Zoom Rooms sürümleri
  • 3.8.42.20200905 öncesi Zoom Şirket İçi Kayıt Bağlayıcısı sürümleri
  • 4.4.6344.20200612 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı sürümleri

Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir.

ZSB-23056 12/12/2023 Android için Zoom Mobil Uygulaması, iOS için Zoom Mobil Uygulaması ve Zoom SDK'ları - Şifreleme Sorunları Kritik CVE-2023-43583

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 4.9

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

Açıklama: 5.16.0 sürümünden önceki Android için Zoom Mobil Uygulaması, iOS için Zoom Mobil Uygulaması ve Android ile iOS için Zoom SDK'larında bulunan şifreleme sorunları, ayrıcalıklı bir kullanıcının ağ erişimi üzerinden bilgileri ifşa etmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.16.0 sürümünden önceki Android İçin Zoom Mobil Uygulaması
  • 5.14.7 sürümünden önceki iOS İçin Zoom İstemci SDK'sı
  • 5.14.7 sürümünden önceki Android İçin Zoom İstemci SDK'sı
  • 5.14.7 sürümünden önceki macOS İçin Zoom İstemci SDK'sı
  • 5.14.7 sürümünden önceki Linux İçin Zoom İstemci SDK'sı
  • 5.8.3 öncesi Zoom Rooms için Kontrolörler (Android, iOS ve Windows) sürümleri

Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir.

ZSB-23055 11/14/2023 Zoom İstemcileri - Uygunsuz Yetkilendirme Kritik CVE-2023-43582

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 5.5

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L

Açıklama: Bazı Zoom istemcilerindeki uygunsuz yetkilendirme, kimliği doğrulanmış bir kullanıcının ağ erişimi yoluyla bir ayrıcalığı yükseltebilmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.16.0 sürümünden önceki Windows İçin Zoom Masaüstü İstemcisi
  • 5.14.5 sürümünden önceki macOS İçin Zoom Masaüstü İstemcisi
  • 5.14.5 sürümünden önceki Linux İçin Zoom Masaüstü İstemcisi
  • 5.14.5 sürümünden önceki Zoom VDI Ana Bilgisayarı ve Eklentisi
  • 5.14.5 sürümünden önceki Android İçin Zoom Mobil Uygulaması
  • 5.14.5 sürümünden önceki iOS İçin Zoom Mobil Uygulaması
  • 5.14.5 sürümünden önceki iPad için Zoom Rooms
  • 5.14.5 sürümünden önceki Android İçin Zoom Rooms
  • 5.14.5 sürümünden önceki Windows için Zoom Rooms
  • 5.14.5 sürümünden önceki macOS için Zoom Rooms
  • 5.7.6.1922 öncesi Android için Zoom Meeting SDK sürümleri
  • 5.7.6.1082 öncesi iOS için Zoom Meeting SDK sürümleri
  • 5.7.6.1340 öncesi macOS için Zoom Meeting SDK sürümleri
  • 5.7.6.1081 öncesi Windows için Zoom Meeting SDK sürümleri
  • 1.1.2 öncesi Zoom Video SDK (Android, iOS, macOS ve Windows için) sürümleri

Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir.

ZSB-23054 11/14/2023 MacOS için Zoom Rooms - Uygunsuz Ayrıcalık Yönetimi Kritik CVE-2023-43591

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.8

CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

Açıklama: 5.16.0 sürümünden önceki MacOS için Zoom Rooms'ta uygunsuz ayrıcalık yönetimi, kimliği doğrulanmış bir kullanıcının yerel erişim yoluyla ayrıcalıkları yükseltmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.16.0 sürümünden önceki macOS için Zoom Rooms

Kaynak: Eugene Lim (spaceraccoon) tarafından bildirilmiştir.

ZSB-23053 11/14/2023 MacOS için Zoom Rooms - Bağlantı İzleme Kritik CVE-2023-43590

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.8

CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

Açıklama: 5.16.0 sürümünden önceki MacOS için Zoom Rooms'ta bağlantı izleme, kimliği doğrulanmış bir kullanıcının yerel erişim yoluyla ayrıcalıkları yükseltmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.16.0 sürümünden önceki macOS için Zoom Rooms

Kaynak: Eugene Lim (spaceraccoon) tarafından bildirilmiştir.

ZSB-23052 11/14/2023 Zoom İstemcileri - Yetersiz Kontrol Akışı Yönetimi Kritik CVE-2023-43588

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 3.5

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N

Açıklama: Bazı Zoom istemcilerindeki yetersiz kontrol akışı yönetimi, kimliği doğrulanmış bir kullanıcının ağ erişimi üzerinden bilgileri ifşa etmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.16.0 sürümünden önceki Windows İçin Zoom Masaüstü İstemcisi
  • 4.6.360.20210325 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümleri
  • 3.8.44.20210326 öncesi Zoom Şirket İçi Kayıt Bağlayıcısı sürümleri
  • 4.4.6752.20210326 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı sürümleri
  • 2.5.5495.20210326 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı Yük Dengeleyici sürümleri

Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir.

ZSB-23051 11/14/2023 Zoom İstemcileri - Şifreleme Sorunları Kritik CVE-2023-39199

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 4.9

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

Açıklama: Bazı Zoom istemcileri için Toplantı İçi Sohbet ile ilgili şifreleme sorunları, ayrıcalıklı bir kullanıcının ağ erişimi üzerinden bilgileri ifşa etmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.16.0 sürümünden önceki Windows İçin Zoom Masaüstü İstemcisi
  • 5.13.3 sürümü öncesindeki Zoom Rooms for Windows istemcileri
  • 5.13.1 öncesindeki Zoom VDI for Windows istemcileri

Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir.

ZSB-23050 11/14/2023 Zoom İstemcileri - Arabellek Taşması Kritik CVE-2023-39206

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 3.7

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L

Açıklama: Bazı Zoom istemcilerindeki arabellek taşması, kimliği doğrulanmamış bir kullanıcının ağ erişimi yoluyla bir hizmeti reddedebilmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.16.0 sürümünden önceki Windows İçin Zoom Masaüstü İstemcisi
  • 5.13.3 sürümü öncesindeki Zoom Rooms for Windows istemcileri
  • 5.13.1 öncesindeki Zoom VDI for Windows istemcileri
  • 4.4.6344.20200612 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı sürümleri
  • 2.5.5492.20200616 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı Yük Dengeleyici sürümleri
  • Chrome clients before version 3.3.1635.1130
  • Windows Zoom Room clients before version 4.1.6 (35121.1201)
  • Mac Zoom Room clients before version 4.1.7 (35123.1201)
  • Chrome Zoom Room clients before version 3.6.2895.1130
  • Windows Zoom SDK before version 4.1.30384.1029
  • Mac Zoom SDK before version 4.1.34180.1026
  • iOS Zoom SDK before version 4.1.34076.1024
  • Android Zoom SDK before version 4.1.34082.1024
  • Zoom Virtual Room Connectors before version 4.1.4813.1201
  • Zoom Meeting Connectors before version 4.3.135059.1129
  • Zoom Recording Connectors before version 3.6.58865.1130
  • The Zoom Cloud Skype for Business Connector was updated on 12/1/2018
  • The Zoom Cloud Conference Room Connector was updated on 12/6/2018

Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir.

ZSB-23049 11/14/2023 Zoom İstemcileri - Uygunsuz Koşul Denetimi Kritik CVE-2023-39205

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 4.3

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Açıklama: Zoom istemcileri için Zoom Team Chat'te uygunsuz koşul denetimi, kimliği doğrulanmış bir kullanıcının ağ erişimi yoluyla bir hizmeti reddedebilmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.16.0 sürümünden önceki Windows İçin Zoom Masaüstü İstemcisi
  • 5.10.0 öncesi tüm Windows için Zoom Rooms for Conference Room sürümleri
  • 5.10.3 öncesi tüm Windows için Microsoft Outlook için Zoom Eklentileri sürümleri
  • 5.9.6 öncesi tüm Zoom VDI Windows Meeting Client sürümleri
  • 2.5.5496.20210703 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı Yük Dengeleyici sürümleri

Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir.

ZSB-23048 11/14/2023 Zoom İstemcileri - Arabellek Taşması Kritik CVE-2023-39204

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 4.3

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L

Açıklama: Bazı Zoom istemcilerindeki arabellek taşması, kimliği doğrulanmamış bir kullanıcının ağ erişimi yoluyla bir hizmeti reddedebilmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.15.10 sürümünden önceki Windows İçin Zoom Masaüstü İstemcisi
  • 5.10.0 öncesi tüm Windows için Zoom Rooms for Conference Room sürümleri
  • 3.8.42.20200905 öncesi Zoom Şirket İçi Kayıt Bağlayıcısı sürümleri
  • 4.4.6344.20200612 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı sürümleri
  • 2.5.5492.20200616 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı Yük Dengeleyici sürümleri

Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir.

ZSB-23047 11/14/2023 Windows için Zoom Masaüstü İstemcisi ve Zoom VDI İstemcisi - Kontrolsüz Kaynak Tüketimi Kritik CVE-2023-39203

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 4.3

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L

Açıklama: Zoom Team Chat'te Windows için Zoom Masaüstü İstemcisi ve Zoom VDI İstemcisi ile ilgili kontrolsüz kaynak tüketimi, kimliği doğrulanmış bir kullanıcının ağ erişimi yoluyla bilgileri ifşa etmesine yol açabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.16.0 sürümünden önceki Windows İçin Zoom Masaüstü İstemcisi
  • 5.13.5 sürümü öncesindeki Zoom Rooms (for Linux, macOS ve Windows) istemcileri

Kaynak: Shmoul tarafından bildirilmiştir.

ZSB-23046 11/14/2023 Windows İçin Zoom Rooms Cihazları ve Zoom VDI İstemcisi - Güvenilir Olmayan Arama Yolu Kritik CVE-2023-39202

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 3.1

CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:L

Açıklama: Windows için Zoom Rooms Cihazları ve Zoom VDI İstemcisinde güvenilir olmayan arama yolu, ayrıcalıklı bir kullanıcının yerel erişim yoluyla bir hizmeti reddedebilmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.16.0 sürümü öncesindeki Windows için Zoom Rooms Cihazları
  • 4.6.360.20210325 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümleri

Kaynak: sim0nsecurity tarafından bildirildi.

ZSB-23045 09/12/2023 CleanZoom - Güvenilir Olmayan Arama Yolu Kritik CVE-2023-39201

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.2

CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H

Açıklama: 24/07/2023 dosya tarihi öncesinde CleanZoom'da güvenilir olmayan bir arama yolu, ayrıcalıklı bir kullanıcının yerel erişim yoluyla ayrıcalık yükseltme gerçekleştirebilmesine yol açabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • Dosya tarihi 24/07/2023 olan sürüm öncesindeki CleanZoom

Kaynak: sim0nsecurity tarafından bildirildi.

ZSB-23043 09/12/2023 Linux için Zoom Masaüstü İstemcisi - Uygunsuz Giriş Doğrulaması Kritik CVE-2023-39208

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 6.5

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L

Açıklama: 5.15.10 sürümünden önceki Linux için Zoom Masaüstü İstemcisi'ndeki uygunsuz giriş doğrulaması, kimliği doğrulanmamış bir kullanıcının ağ erişimi yoluyla bir hizmeti reddedebilmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.15.10 sürümünden önceki Linux için Zoom Masaüstü İstemcisi

Kaynak: Antoine Roly (aroly) tarafından bildirilmiştir.

ZSB-23040 09/12/2023 Zoom İstemcileri - Uygunsuz Kimlik Doğrulaması Kritik CVE-2023-39215

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.1

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:H

Açıklama: Bazı Zoom istemcilerindeki uygunsuz kimlik doğrulaması, kimliği doğrulanmamış bir kullanıcının ağ erişimi yoluyla bir hizmeti reddedebilmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.15.5 sürümünden önceki Windows İçin Zoom Masaüstü İstemcisi
  • 5.14.10 sürümü öncesindeki Zoom for macOS
  • 5.13.1 öncesindeki Zoom VDI for Windows istemcileri
  • 5.0.1 öncesi Chrome işletim sistemi için Zoom Client for Meetings sürümleri
  • 5.8.3 öncesi Zoom Rooms for Conference Room (Android, AndroidBali, macOS ve Windows için) sürümleri
  • 5.8.3 öncesi Zoom Rooms için Kontrolörler (Android, iOS ve Windows) sürümleri
  • 5.8.4 öncesi Zoom VDI Windows Meeting Client sürümleri
  • 5.8.4.21112 öncesi Zoom VDI Azure Sanal Masaüstü Eklentileri (Windows x86 veya x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64 için) sürümleri

Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir.

ZSB-23041 08/08/2023 Windows İçin Zoom Masaüstü İstemcisi - Uygunsuz Giriş Doğrulaması Kritik CVE-2023-39209

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 5.9

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Açıklama: 5.15.5 sürümünden önceki Windows için Zoom Masaüstü İstemcisi'ndeki uygunsuz giriş doğrulaması, kimliği doğrulanmış bir kullanıcının ağ erişimi yoluyla veri ifşasını etkinleştirmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.15.5 sürümünden önceki Windows İçin Zoom Masaüstü İstemcisi

Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir.

ZSB-23039 08/08/2023 Zoom İstemcileri - Hassas Bilgilerin Açığa Çıkması Kritik CVE-2023-39214

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.6

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H

Açıklama: 5.15.5 sürümünden önceki Zoom İstemcilerindeki hassas bilgilerin açığa çıkması, kimliği doğrulanmış bir kullanıcının ağ erişimi yoluyla bir hizmeti reddedebilmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.15.5 sürümünden önceki Windows İçin Zoom Masaüstü İstemcisi
  • 5.12.6 öncesi Zoom VDI Windows Meeting Client sürümleri
  • 5.12.6 öncesi Zoom Rooms for Conference Room (Android, iOS, Linux, macOS ve Windows için) sürümleri

Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir.

ZSB-23038 08/08/2023 Windows İçin Zoom Masaüstü İstemcisi ve Zoom VDI İstemcisi - Özel Bileşenlerin Uygunsuz Etkisizleştirilmesi Kritik CVE-2023-39213

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 9.6

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Açıklama: Windows için Zoom Masaüstü İstemcisi ve Zoom VDI İstemcisi'nde özel bileşenlerin uygunsuz etkisizleştirilmesi, kimliği doğrulanmamış bir kullanıcının ağ erişimi yoluyla ayrıcalıkları yükseltebilmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.15.2 sürümünden önceki Windows İçin Zoom Masaüstü İstemcisi
  • 5.14.0 sürümü öncesindeki Zoom Rooms for Windows istemcileri
  • 5.14.0 sürümü öncesindeki Zoom VDI Windows Meeting istemcileri

Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir.

ZSB-23037 08/08/2023 Windows İçin Zoom Rooms - Güvenilir Olmayan Arama Yolu Kritik CVE-2023-39212

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.9

CVSS Vektör Dizesi: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

Açıklama: 5.15.5 sürümünden önceki Windows için Zoom Rooms'taki güvenilir olmayan arama yolu, kimliği doğrulanmamış bir kullanıcının yerel erişim yoluyla bir hizmeti reddedebilmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.15.5 sürümünden önceki Windows için Zoom Rooms

Kaynak: sim0nsecurity tarafından bildirildi.

ZSB-23036 08/08/2023 Windows İçin Zoom Masaüstü İstemcisi ve Windows İçin Zoom Rooms - Uygunsuz Ayrıcalık Yönetimi Kritik CVE-2023-39211

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.8

CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Açıklama: 5.15.5 sürümünden önceki Windows için Zoom Masaüstü İstemcisi ve Windows için Zoom Rooms'taki uygunsuz ayrıcalık yönetimi, kimliği doğrulanmış bir kullanıcının yerel erişim yoluyla veri ifşasını etkinleştirmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.15.5 sürümünden önceki Windows İçin Zoom Masaüstü
  • 5.10.0 öncesi tüm Windows için Zoom Rooms for Conference Room sürümleri

Kaynak: sim0nsecurity tarafından bildirildi.

ZSB-23035 08/08/2023 Windows İçin Zoom İstemci SDK'sı - Hassas Bilgilerin Açık Metin Olarak Saklanması Kritik CVE-2023-39210

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 5.5

CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Açıklama: 5.15.0 sürümünden önceki Windows için Zoom İstemci SDK'sındaki hassas bilgilerin açık metin olarak saklanması, kimliği doğrulanmış bir kullanıcının yerel erişim yoluyla veri ifşasını etkinleştirmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.15.0 sürümünden önceki Windows İçin Zoom İstemci SDK'sı

Kaynak: sim0nsecurity tarafından bildirildi.

ZSB-23034 08/08/2023 Zoom İstemcileri - Sunucu Tarafındaki Güvenliğin İstemci Tarafından Zorlanması Kritik CVE-2023-39218

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 6.5

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

Açıklama: 5.14.10 sürümünden önceki Zoom istemcilerinde sunucu tarafındaki güvenliğin istemci tarafından zorlanması, ayrıcalıklı bir kullanıcının yerel erişim yoluyla veri ifşasını etkinleştirmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.14.10 sürümünden önceki Windows İçin Zoom Masaüstü İstemcisi
  • 4.6.365.20210703 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümleri
  • 3.8.45.20210703 öncesi Zoom Şirket İçi Kayıt Bağlayıcısı sürümleri
  • 4.4.6868.20210703 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı sürümleri
  • 2.5.5496.20210703 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı Yük Dengeleyici sürümleri

Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir.

ZSB-23033 08/08/2023 Zoom İstemcileri - Uygunsuz Giriş Doğrulaması Kritik CVE-2023-39217

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 5.3

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Açıklama: 5.14.10 sürümünden önceki Zoom İstemcilerindeki uygunsuz giriş doğrulaması, kimliği doğrulanmamış bir kullanıcının ağ erişimi yoluyla bir hizmeti reddedebilmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.14.10 sürümünden önceki Windows İçin Zoom Masaüstü İstemcisi
  • 5.12.6 öncesi Zoom VDI Windows Meeting Client for Windows (32 bit)
  • 5.12.6 öncesi Windows (32 bit) için Zoom Rooms for Conference Room sürümleri
  • 4.4.6752.20210326 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı sürümleri
  • 2.5.5495.20210326 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı Yük Dengeleyici sürümleri
  • 3.3.1635.1130 sürümünden önceki Chrome istemcileri
  • 4.1.6 sürümünden önceki Windows Zoom Room istemcileri (35121.1201)
  • 4.1.7 sürümünden önceki Mac Zoom Room istemcileri (35123.1201)
  • 3.6.2895.1130 sürümünden önceki Chrome Zoom Room istemcileri
  • 4.1.30384.1029 sürümünden önceki Windows Zoom SDK

Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir.

ZSB-23032 08/08/2023 Windows İçin Zoom Masaüstü İstemcisi - Uygunsuz Giriş Doğrulaması Kritik CVE-2023-39216

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 9.6

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Açıklama: 5.14.7 sürümünden önceki Windows için Zoom Masaüstü İstemcisi'ndeki uygunsuz giriş doğrulaması, kimliği doğrulanmamış bir kullanıcının ağ erişimi yoluyla ayrıcalıkları yükseltebilmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.14.7 sürümünden önceki Windows İçin Zoom Masaüstü İstemcisi

Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir.

ZSB-23031 08/08/2023 Zoom İstemcileri - Sunucu Tarafındaki Güvenliğin İstemci Tarafından Zorlanması Kritik CVE-2023-36535

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.1

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L

Açıklama: 5.14.10 sürümünden önceki Zoom istemcilerinde sunucu tarafındaki güvenliğin istemci tarafından zorlanması, kimliği doğrulanmış bir kullanıcının yerel erişim yoluyla veri ifşasını etkinleştirmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.14.10 sürümünden önceki Windows İçin Zoom İstemcileri
  • 5.12.2 öncesi Zoom VDI Windows Meeting Client sürümleri
  • 5.12.2 öncesi Zoom Rooms for Conference Room (Android, iOS, Linux, macOS ve Windows için) sürümleri
  • 4.4.6620.20201110 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı sürümleri
  • 2.5.5495.20210326 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı Yük Dengeleyici sürümleri

Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir.

ZSB-23030 08/08/2023 Windows İçin Zoom Masaüstü İstemcisi - Yol Ağ Geçişi Kritik CVE-2023-36534

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 9.3

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H

Açıklama: 5.14.7 sürümünden önceki Windows için Zoom Masaüstü İstemcisi'ndeki yol ağ geçişi, kimliği doğrulanmamış bir kullanıcının ağ erişimi yoluyla ayrıcalıkları yükseltebilmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.14.7 sürümünden önceki Windows İçin Zoom Masaüstü İstemcisi

Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir.

ZSB-23029 08/08/2023 Zoom SDK’ları - Kontrol Edilmeyen Kaynak Tüketimi Kritik CVE-2023-36533

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.1

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H

Açıklama: 5.14.7 sürümünden önceki Zoom SDK'larındaki kontrol edilmeyen kaynak tüketimi, kimliği doğrulanmamış bir kullanıcının ağ erişimi yoluyla bir hizmeti reddedebilmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.14.7 sürümünden önceki Windows İçin Zoom İstemci SDK'sı
  • 5.10.7 öncesi Zoom VDI Windows Meeting Clients sürümleri
  • 5.11.0 öncesi Zoom Rooms for Conference Room (Android, iOS, Linux, macOS ve Windows için) sürümleri
  • 4.4.6868.20210703 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı sürümleri
  • 2.5.5496.20210703 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı Yük Dengeleyici sürümleri

Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir.

ZSB-23028 08/08/2023 Zoom İstemcileri - Arabellek Taşması Kritik CVE-2023-36532

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 5.9

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Açıklama: 5.14.5 sürümünden önceki Zoom istemcilerindeki arabellek taşması, kimliği doğrulanmamış bir kullanıcının ağ erişimi yoluyla bir hizmeti reddedebilmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.14.5 sürümünden önceki Windows İçin Zoom Masaüstü İstemcisi
  • 4.6.360.20210325 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümleri
  • 3.8.44.20210326 öncesi Zoom Şirket İçi Kayıt Bağlayıcısı sürümleri
  • 4.4.6752.20210326 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı sürümleri
  • 2.5.5495.20210326 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı Yük Dengeleyici sürümleri

Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir.

ZSB-23027 08/08/2023 Windows İçin Zoom Masaüstü İstemcisi - Veri Orijinalliği Doğrulamasının Yetersizliği Kritik CVE-2023-36541

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Açıklama: 5.14.5 öncesindeki Windows İçin Zoom Masaüstü İstemcisindeki veri orijinalliği doğrulamasının yetersiz olması, kimliği doğrulanmış bir kullanıcının ağ erişimi üzerinden başkalarına ayrıcalık atamasına yol açabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.14.5 sürümünden önceki Windows İçin Zoom Masaüstü İstemcisi

Kaynak: sim0nsecurity tarafından bildirildi.

ZSB-23026 08/08/2023 Windows İçin Zoom Masaüstü İstemcisi - Güvenilir Olmayan Arama Yolu Kritik CVE-2023-36540

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.3

CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Açıklama: 5.14.5 sürümünden önceki Windows için Zoom Masaüstü İstemcisi yükleme aracındaki güvenilir olmayan arama yolu, kimliği doğrulanmamış bir kullanıcının yerel erişim yoluyla ayrıcalıkları yükseltmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.14.5 sürümünden önceki Windows İçin Zoom Masaüstü İstemcisi

Kaynak: sim0nsecurity tarafından bildirildi.

ZSB-23024 07/11/2023 Uygunsuz Erişim Denetimi Kritik CVE-2023-36538

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.4

CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Açıklama: 5.15.0 sürümünden önceki Windows için Zoom Rooms'ta uygunsuz erişim denetimi, kimliği doğrulanmamış bir kullanıcının yerel erişim yoluyla ayrıcalıkları yükseltmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.15.0 sürümünden önceki Windows için Zoom Rooms

Kaynak: sim0nsecurity tarafından bildirildi.

ZSB-23023 07/11/2023 Uygunsuz Ayrıcalık Yönetimi Kritik CVE-2023-36537

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.3

CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Açıklama: 5.14.5 sürümünden önceki Windows için Zoom Rooms'ta uygunsuz ayrıcalık yönetimi, kimliği doğrulanmamış bir kullanıcının yerel erişim yoluyla ayrıcalıkları yükseltmesine olanak tanıyabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.12.7 sürümünden önceki Zoom Rooms for Windows istemcileri

Kaynak: sim0nsecurity tarafından bildirildi

ZSB-22033 01/06/2023 Zoom for Android İstemcilerinde Yol Geçişi Kritik CVE-2022-36928

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 6.1

CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N

Açıklama: Sürüm 5.13.0 öncesindeki Zoom for Android istemcileri bir yol geçişi güvenlik açığı içeriyor. Bir üçüncü taraf uygulaması bu güvenlik açığını istismar ederek Zoom uygulama verileri dizinini okuyabilir ve bu dizine yazabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.13.0 sürümünden önceki Zoom for Android istemcileri

Kaynak: Microsoft'tan Dimitrios Valsamaras tarafından bildirilmiştir

ZSB-22032 01/06/2023 macOS İstemcileri için Zoom Rooms'ta Yerel Ayrıcalık Yükseltme Kritik CVE-2022-36926
CVE-2022-36927

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.8

CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Açıklama: Sürüm 5.11.3 öncesindeki Zoom Rooms for macOS istemcileri bir yerel ayrıcalık yükseltme güvenlik açığı içeriyor. Düşük yetkiye sahip bir yerel kullanıcı, bu güvenlik açığından yararlanarak ayrıcalıklarını kök hâline getirebilir.
Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.11.3 sürümünden önceki Zoom Rooms for macOS istemcileri

Kaynak: Kirin (Pwnrin) tarafından bildirilmiştir

ZSB-22031 01/06/2023 macOS İstemcileri için Zoom Rooms için güvensiz anahtar oluşturma Kritik CVE-2022-36925

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 4.4

CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

Açıklama: Sürüm 5.11.4 öncesindeki Zoom Rooms for macOS istemcileri bir güvensiz anahtar oluşturma mekanizması içeriyor. Zoom Rooms hayalet hizmeti ile Zoom Rooms istemcisi arasındaki IPC için kullanılan şifreleme anahtarı, yerel bir düşük ayrıcalıklı uygulama tarafından alınabilen parametreler kullanılarak oluşturuluyordu. Bu anahtar daha sonra ayrıcalıklı işlevlerin çalıştırılması ve yerel bir hizmet reddine yol açmak amacıyla hayalet hizmetiyle etkileşim için kullanılabiliyor.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.11.4 sürümünden önceki Zoom Rooms for macOS

Kaynak: Kirin (Pwnrin) tarafından bildirilmiştir

ZSB-22030 11/15/2022 Windows için Zoom Rooms Yükleyicisinde Yerel Ayrıcalık Yükseltmesi Kritik CVE-2022-36924

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.8

CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Açıklama: 5.12.6'dan önceki Windows için Zoom Rooms Yükleyicisi, yerel bir ayrıcalık yükseltme güvenlik açığı içeriyor. Düşük ayrıcalığa sahip yerel bir kullanıcı, ayrıcalıklarını SİSTEM kullanıcısına yükseltmek için yükleme işlemi sırasında bu güvenlik açığından yararlanabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.12.6 sürümünden önceki Windows için Zoom Rooms Yükleyicisi

Kaynak: sim0nsecurity tarafından bildirildi

ZSB-22029 11/15/2022 macOS için Zoom Client Yükleyicisinde Yerel Ayrıcalık Yükseltme Kritik CVE-2022-28768

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.8

CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Açıklama: 5.12.6 sürümünden önceki macOS için Zoom Client for Meetings (Standart ve BT Yöneticisi için) yerel bir ayrıcalık yükseltme güvenlik açığı içeriyor. Düşük ayrıcalığa sahip bir yerel kullanıcı, ayrıcalıklarını köklendirmek için bu güvenlik açığından yararlanabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.12.6 sürümü öncesi macOS için Zoom Client for Meetings (Standart ve BT Yöneticisi için)

Kaynak: Koh M. Nakagawa (tsunekoh) tarafından bildirildi

ZSB-22027 11/15/2022 Zoom Windows İstemcilerinde DLL enjeksiyonu Kritik CVE-2022-28766

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.1

CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L

Açıklama: Zoom Client for Meetings'in 5.12.6'dan önceki Windows 32-bit sürümleri ve 5.12.6 sürümünden önceki Konferans Odası için Zoom Rooms sürümleri, DLL enjeksiyonu güvenlik açığına maruz kalabilir. Düşük ayrıcalığa sahip bir yerel kullanıcı, Zoom istemcisi bağlamında rastgele kod çalıştırmak için bu güvenlik açığından yararlanabilir.

Kullanıcılar mevcut güncellemeleri yükleyerek veya tüm güncel güvenlik güncellemelerinin yer aldığı en yeni Zoom yazılım sürümünü https://zoom.us/download adresinden indirerek kendilerini bu duruma karşı korumaya alabilir.

Etkilenen Ürünler:

  • 5.12.6 öncesi Windows (32 bit) için Zoom Client for Meetings sürümleri
  • 5.12.6 öncesi Zoom VDI Windows Meeting Client for Windows (32 bit)
  • 5.12.6 öncesi Windows (32 bit) için Zoom Rooms for Conference Room sürümleri

Kaynak: sim0nsecurity tarafından bildirildi

ZSB-22025 11/10/2022 Zoom İstemcilerinde yerel bilgi teşhiri Kritik CVE-2022-28764

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 3.3

CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Açıklama: 5.12.6 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri, yerel bilgi teşhiri güvenlik açığına maruz kalabilir.

Bir toplantı sona erdikten sonra yerel bir SQL veritabanından verilerin temizlenememesi ve bu veritabanını şifreleyen yeterince güvenli olmayan bir cihaz başına anahtarın kullanılması, kötü niyetli yerel bir kullanıcının toplantı bilgilerini alabilmesine neden olur (bu yerel kullanıcı hesabından katılınmış önceki toplantıdan toplantı içi sohbet gibi).

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.12.6 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri
  • 5.12.6 öncesi Zoom VDI Windows Meeting Client sürümleri
  • 5.12.6 öncesi Zoom Rooms for Conference Room (Android, iOS, Linux, macOS ve Windows için) sürümleri

Kaynak: SySS GmbH'den Christian Zäske tarafından bildirildi

ZSB-22024 10/24/2022 Zoom İstemcilerinde uygun olmayan URL ayrıştırma Kritik CVE-2022-28763

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.8

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Açıklama: 5.12.2 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri, URL ayrıştırma güvenlik açığına maruz kalabilir. Kötü amaçlı bir Zoom toplantı URL'si açılırsa kötü amaçlı bağlantı, kullanıcıyı rastgele bir ağ adresine bağlanmaya yönlendirebilir ve bu da oturumların ele geçirilmesi de dahil olmak üzere ek saldırılara yol açabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.12.2 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri
  • 5.12.2 öncesi Zoom VDI Windows Meeting Client sürümleri
  • 5.12.2 öncesi Zoom Rooms for Conference Room (Android, iOS, Linux, macOS ve Windows için) sürümleri

Kaynak: Zoom Güvenlik Ekibi tarafından bildirilmiştir

ZSB-22023 10/11/2022 macOS için Zoom Client for Meetings'te Zoom Apps'in sorun giderme bağlantı noktasında yanlış yapılandırma Kritik CVE-2022-28762

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.3

CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

Açıklama: 5.10.6 sürümünden başlayarak 5.12.0 sürümünden önce macOS için (Standart ve BT Yöneticisi için) Zoom Client for Meetings'te, sorun giderme bağlantı noktası yanlış yapılandırması var. Belli Zoom Apps uygulamalarını çalıştırarak Zoom Uygulama Katmanları API'sinin parçası olarak kamera modu işleme bağlamı etkinleştirildiğinde, Zoom istemcisi tarafından yerel bir hata ayıklama bağlantı noktası açılır. Kötü niyetli yerel bir kullanıcı, bu sorun giderme bağlantı noktasını kullanarak Zoom istemcisinde çalışan Zoom Apps'e bağlanıp bunu kontrol edebilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.10.6'dan başlayarak 5.12.0 sürümünden önce macOS için (Standart ve BT Yöneticisi için) Zoom Client for Meetings

Kaynak: Zoom Güvenlik Ekibi tarafından bildirilmiştir

ZSB-22022 10/11/2022 Zoom Şirket İçi Dağıtımlar: Hatalı Erişim Kontrolü Kritik CVE-2022-28761

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 6.5

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Açıklama: 4.8.20220916.131 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümlerinde hatalı erişim kontrolü güvenlik açığı bulunuyor. Sonuç olarak, bir toplantıda veya web seminerinde katılma yetkisi verilmiş zararlı bir aktör, katılımcıların ses ve videoyu almasını önleyip toplantıda sorunlara sebep olabilir.

Zoom Şirket İçi Dağıtımlar için BT yöneticileri şu bağlantıyı kullanarak Zoom yazılımlarını güncel tutabilir: https://support.zoom.us/hc/en-us/articles/360043960031

Etkilenen Ürünler:

  • 4.8.20220916.131 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümleri

Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir

ZSB-22021 09/13/2022 Zoom Şirket İçi Dağıtımlar: Hatalı Erişim Kontrolü Kritik CVE-2022-28760

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 6.5

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Açıklama: 4.8.20220815.130 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümlerinde hatalı erişim kontrolü güvenlik açığı bulunuyor. Bu nedenle, zararlı bir aktör, katılma yetkisine sahip olduğu bir toplantıya diğer katılımcılara görünmeden katılabilir.

Zoom Şirket İçi Dağıtımlar için BT yöneticileri şu bağlantıyı kullanarak Zoom yazılımlarını güncel tutabilir: https://support.zoom.us/hc/en-us/articles/360043960031

Etkilenen Ürünler:

  • 4.8.20220815.130 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümleri

Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir

ZSB-22020 09/13/2022 Zoom Şirket İçi Dağıtımlar: Hatalı Erişim Kontrolü Kritik CVE-2022-28758
CVE-2022-28759

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.2

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Açıklama: 4.8.20220815.130 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümlerinde hatalı erişim kontrolü güvenlik açığı bulunuyor. Sonuç olarak, zararlı bir aktör, katılma yetkisine sahip olmadığı bir toplantının ses ve video akışını elde edip toplantıda farklı sorunlara sebep olabilir.

Zoom Şirket İçi Dağıtımlar için BT yöneticileri şu bağlantıyı kullanarak Zoom yazılımlarını güncel tutabilir: https://support.zoom.us/hc/en-us/articles/360043960031

Etkilenen Ürünler:

  • 4.8.20220815.130 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümleri

Kaynak: Zoom Güvenlik Ekibi tarafından bildirilmiştir

ZSB-22019 08/17/2022 macOS Zoom Client for Meetings İçin Ses Güncelleyicisinde Yerel Ayrıcalık Yükseltme Kritik CVE-2022-28757

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.8

CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Açıklama: 5.7.3 (dahil) ile 5.11.6 (hariç) arası sürüme sahip macOS Zoom Client for Meetings'te (Standart ve BT Yöneticisi için), ses güncelleme işleminde bir güvenlik açığı bulunuyor. Düşük yetkiye sahip bir yerel kullanıcı, bu güvenlik açığından yararlanarak ayrıcalıklarını kök hâline getirebilir.

Not: Bu sorun, CVE-2022-28756'ya çözüm bulmak için 5.11.5'te düzenlenen yamanın atlanmasına olanak verir.

Kullanıcılar mevcut güncellemeleri yükleyerek veya tüm güncel güvenlik güncellemelerinin yer aldığı en yeni Zoom yazılım sürümünü https://zoom.us/download adresinden indirerek kendilerini bu duruma karşı korumaya alabilir.

Etkilenen Ürünler:

  • 5.7.3 (dahil) ile 5.11.6 (hariç) arası sürüme sahip macOS Zoom Client for Meetings (Standart ve BT Yöneticisi için)

Kaynak: Saldırı Güvenlik Ekibinden Csaba Fitzl (theevilbit) tarafından bildirilmiştir

ZSB-22018 08/13/2022 macOS Zoom ürünleri için Otomatik Güncelleyicide Yerel Ayrıcalık Yükseltme [Updated 2022-09-13] Kritik CVE-2022-28756

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.8

CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Açıklama: 5.7.3 (dahil) ile 5.11.5 (hariç) sürüme sahip macOS Zoom Client for Meetings'te (Standart ve BT Yöneticisi için) ve 5.11.6'dan eski sürüme sahip macOS Konferans Odası için Zoom Rooms'ta ses güncelleme işleminde bir güvenlik açığı bulunuyor. Düşük yetkiye sahip bir yerel kullanıcı, bu güvenlik açığından yararlanarak ayrıcalıklarını kök hâline getirebilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

*Değişiklikler - 2022-09-13 - Başlık ve açıklama güncellendi ve Zoom Rooms "Etkilenen Ürünler" bölümüne dahil edildi.

Etkilenen Ürünler:

  • 5.7.3 (dahil) ile 5.11.5 (hariç) arası sürüme sahip macOS Zoom Client for Meetings (Standart ve BT Yöneticisi için)
  • 5.11.6 öncesi macOS Konferans Odası İçin Zoom Rooms sürümleri

Kaynak: Objective-See'den Patrick Wardle tarafından bildirildi

ZSB-22017 08/09/2022 macOS Zoom Client for Meetings'te Yerel Ayrıcalık Yükseltme Kritik CVE-2022-28751

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.8

CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Açıklama: 5.11.3 öncesi macOS Zoom Client for Meetings (Standart ve BT yöneticisi için) sürümlerinde güncelleme işlemi sırasında paket imza doğrulamada güvenlik açığı bulunuyor. Düşük yetkiye sahip bir yerel kullanıcı, bu güvenlik açığından yararlanarak ayrıcalıklarını kök hâline getirebilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.11.3 öncesi macOS Zoom Client for Meetings (Standart ve BT Yöneticisi için)

Kaynak: Objective-See'den Patrick Wardle tarafından bildirildi

ZSB-22014 08/09/2022 Zoom Şirket İçi Dağıtımlar: Hatalı Erişim Kontrolü Kritik CVE-2022-28753
CVE-2022-28754

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.1

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N

Açıklama: 4.8.129.20220714 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümlerinde hatalı erişim kontrolü güvenlik açığı bulunuyor. Bu nedenle zararlı bir aktör, katılma yetkisine sahip olduğu bir toplantıya diğer katılımcılara görünmeden katılabilir, bekleme odasından kendisini toplantıya kabul edebilir, toplantı sahibi olabilir ve diğer toplantı sorunlarına sebep olabilir.

Zoom Şirket İçi Dağıtımlar için BT yöneticileri şu bağlantıyı kullanarak Zoom yazılımlarını güncel tutabilir: https://support.zoom.us/hc/en-us/articles/360043960031

Etkilenen Ürünler:

  • 4.8.129.20220714 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümleri

Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir

ZSB-22016 08/09/2022 Zoom İstemcilerinde uygun olmayan URL ayrıştırma [Updated 2022-10-24] Kritik CVE-2022-28755

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 9.6

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Açıklama: 5.11.0 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri, URL ayrıştırma güvenlik açığına maruz kalabilir. Kötü niyetli bir Zoom toplantı URL'si açıldığında, bu kötü amaçlı bağlantı kullanıcının rastgele bir ağ adresine bağlanmasına sebep olup bu rastgele yoldan gelen yürütülebilir dosyaları başlatarak olası bir uzaktan kod yürütme dahil diğer saldırılara sebep olabilir.

*Değişiklikler - 24/10/2022- "Etkilenen Ürünler" bölümüne Zoom Rooms eklendi.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.11.0 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri

Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir

ZSB-22012 08/09/2022 Zoom Şirket İçi Dağıtımları: Toplantı Bağlayıcısında Yığın Arabelleği Taşması Kritik CVE-2022-28750

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.5

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Açıklama: 4.8.20220419.112 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı Bölge Kontrolörü (ZC) sürümleri, STUN hata kodlarını doğru bir şekilde ayrıştıramıyor. Bu durum bellek bozulmasına ve zararlı bir aktörün uygulamayı çökertmesine sebep olabiliyor. 4.8.12.20211115 öncesi sürümlerde bu güvenlik açığı ayrıca rastgele kod yürütecek şekilde kullanılabilir.

Zoom Şirket İçi Dağıtımlar İçin BT yöneticileri şu kılavuzu kullanarak Zoom yazılımlarını güncel tutabilir:
https://support.zoom.us/hc/en-us/articles/360043960031

Etkilenen Ürünler:

  • 4.8.20220419.112 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı Kontrolörü (ZC) sürümleri

Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir

ZSB-22011 06/14/2022 Toplantıya Katılım Sırasında Yetersiz Yetki Kontrolü Kritik CVE-2022-28749

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 6.5

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Açıklama: 4.8.113.20220526 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümleri, bir Zoom toplantısına katılanların izinlerini düzgün bir şekilde kontrol edemiyor. Bunun sonucunda, Zoom'un bekleme odasında tehdit arz eden bir aktörün, oturum sahibinin onayı olmadan toplantıya katılması söz konusu olabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 4.8.113.20220526 Öncesi Şirket İçi Toplantı Bağlayıcıları

Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir

ZSB- 22010 06/14/2022 Zoom ve Zoom Rooms Clients için Zoom Opener yükleme aracında DLL enjeksiyonu Kritik CVE-2022-22788

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.1

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

Açıklama: Zoom Opener yükleme aracı, Zoom Meeting Client yüklememiş olan ve bir toplantıya katılmaya çalışan bir kullanıcı tarafından "Launch Meeting" ("Toplantıyı Başlat") sayfasından indirilir. 5.10.3 öncesi Zoom Client for Meetings sürümü için ve 5.10.3 öncesi Windows için Zoom Rooms for Conference Room sürümü için Zoom Opener yükleme aracında DLL enjeksiyonu saldırısı görülebilir. Bu güvenlik açığı, kurbanın ana bilgisayarında rastgele kod yürütmek üzere kullanılabilir.

Kullanıcılar, Zoom Opener yükleme aracının daha eski sürümlerini kaldırarak ve "Launch Meeting" ("Toplantıyı Başlat") sayfasındaki “Download Now" (“Şimdi İndir") düğmesini kullanıp Zoom Opener yükleme aracının en son sürümünü çalıştırarak kendilerini güvende tutabilir. Kullanıcılar, https://zoom.us/download adresinden tüm mevcut güvenlik güncellemelerini içeren en son Zoom yazılımını indirerek de kendilerini koruyabilir.

Etkilenen Ürünler:

  • 5.10.3 öncesi Windows için Zoom Client for Meetings sürümleri
  • 5.10.3 öncesi tüm Windows için Zoom Rooms for Conference Room sürümleri

Kaynak: James Tsz Ko Yeung tarafından bildirilmiştir

ZSB-22009 05/17/2022 Zoom Client for Meetings sunucu değişimi sırasında yetersiz ana bilgisayar adı doğrulaması Kritik CVE-2022-22787

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 5.9

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Açıklama: 5.10.0 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri, sunucu değiştirme isteği sırasında ana bilgisayar adını düzgün bir şekilde doğrulayamamaktadır. Bu sorun, durumdan haberi olmayan bir kullanıcıyı Zoom hizmetlerini kullanmaya çalışırken istemcisini kötü amaçlı bir sunucuya bağlaması için kandırmayı amaçlayan daha karmaşık bir saldırıda kullanılabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.10.0 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri

Kaynak: Google Project Zero'dan Ivan Fratric tarafından bildirilmiştir

ZSB-22008 05/17/2022 Windows için Zoom Client for Meetings'de güncelleme paketi düşürme Kritik CVE-2022-22786

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.5

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Açıklama: 5.10.0 öncesi Windows için Zoom Client for Meetings sürümleri ve 5.10.0 öncesi Windows için Zoom Rooms for Conference Rooms sürümleri, güncelleştirme işlemi sırasında yükleme sürümünü düzgün bir şekilde denetleyememektedir. Bu sorun, bir kullanıcıyı Zoom istemcisini daha az güvenli bir sürüme düşürmesi için kandırmayı amaçlayan daha karmaşık bir saldırıda kullanılabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.10.0'dan eski tüm Windows için Zoom Client for Meetings sürümleri
  • 5.10.0 öncesi tüm Windows için Zoom Rooms for Conference Room sürümleri

Kaynak: Google Project Zero'dan Ivan Fratric tarafından bildirilmiştir

ZSB-22007 05/17/2022 Zoom Clients for Meetings'de uygun olmayan şekilde kısıtlanmış oturum çerezleri Kritik CVE-2022-22785

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 5.9

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Açıklama: 5.10.0 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri, oturum çerezlerini Zoom etki alanlarıyla düzgün şekilde kısıtlayamamaktadır. Bu sorun, bir kullanıcının Zoom kapsamlı oturum çerezlerini Zoom dışındaki bir etki alanına göndermeyi amaçlayan daha karmaşık bir saldırıda kullanılabilir. Bu durum, bir Zoom kullanıcısının dolandırılmasıyla sonuçlanabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.10.0 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri

Kaynak: Google Project Zero'dan Ivan Fratric tarafından bildirilmiştir

ZSB- 22006 05/17/2022 Zoom Client for Meetings'te Uygun Olmayan XML Ayrıştırma Kritik CVE-2022-22784

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.1

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Açıklama: 5.10.0 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri, XMPP iletilerindeki XML stanzalarını düzgün şekilde ayıramamaktadır. Bu durum, kötü niyetli bir kullanıcının mevcut XMPP iletisini bağlamından ayırmasına ve alıcı kullanıcının çeşitli eylemler gerçekleştirmesini sağlamak için yeni bir ileti bağlamı oluşturmasına imkân verebilir. Bu durum, sunucudaki XMPP iletilerinin sahtesini oluşturmayı amaçlayan daha karmaşık bir saldırıda kullanılabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.10.0 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri

Kaynak: Google Project Zero'dan Ivan Fratric tarafından bildirilmiştir

ZSB- 22005 04/27/2022 Zoom şirket içi Toplantı hizmetlerinde işlemci belleği ifşası Kritik CVE-2022-22783

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.3

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/CR:H

Açıklama: Zoom Şirket İçi Toplantı Bağlayıcısı Controller'ı sürüm 4.8.102.20220310 ve Şirket İçi Toplantı Bağlayıcısı MMR sürüm 4.8.102.20220310'da bulunan bir güvenlik açığı, işlemci belleği parçalarını bağlı istemcilere ifşa ediyor ve pasif durumdaki saldırganlar tarafından fark edilebilir hale getiriyor.

Kullanıcılar, mevcut güncellemeleri yükleyerek veya tüm güncel güvenlik güncellemelerinin yer aldığı en son Zoom yazılımını indirerek kendilerini bu duruma karşı korumaya alabilir.

Etkilenen Ürünler:

  • Zoom Şirket İçi Toplantı Bağlayıcısı Controller'ı sürüm 4.8.102.20220310
  • Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürüm 4.8.102.20220310

Kaynak: Zoom Saldırı Güvenlik Ekibi

ZSB-22004 04/27/2022 Windows Zoom İstemcilerinde yerel ayrıcalık yükseltme Kritik CVE-2022-22782

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.9

CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

Açıklama: 5.9.7 sürümünden önceki Windows için Zoom Clients for Meetings, 5.10.0 sürümünden önceki Windows için Zoom Rooms for Conference Room, 5.10.3 sürümünden önceki Windows için Microsoft Outlook için Zoom Eklentileri ve 5.9.6 sürümünden önceki Zoom VDI Windows Meeting İstemcileri; yükleyicinin onarım işlemi sırasında yerel bir ayrıcalık yükseltme sorunundan kolayca etkilenebiliyordu. Zararlı bir aktör bunu sistem düzeyindeki dosyaları veya klasörleri silmek için kullanabilir ve kullanıcının ana makinesinde bütünlük veya kullanılabilirlik sorunlarına neden olabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.9.7 öncesi tüm Windows için Zoom Client for Meetings sürümleri
  • 5.10.0 öncesi tüm Windows için Zoom Rooms for Conference Room sürümleri
  • 5.10.3 öncesi tüm Windows için Microsoft Outlook için Zoom Eklentileri sürümleri
  • 5.9.6 öncesi tüm Zoom VDI Windows Meeting Client sürümleri

Kaynak: Zero Day Initiative tarafından bildirildi

ZSB-22003 04/27/2022 macOS Zoom Client for Meetings'te güncelleme paketi düşürme Kritik CVE-2022-22781

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.5

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Açıklama: 5.9.6 öncesi macOS Zoom Client for Meetings (Standart ve BT yöneticisi için) sürümleri, güncelleme işlemi sırasında paket sürümünü düzgün şekilde kontrol edemiyordu. Bu durum, zararlı bir aktörün durumdan haberi olmayan bir kullanıcının mevcut yüklü sürümünü daha az güvenli bir sürüme güncellemesine sebebiyet verebilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.9.6 öncesi macOS tüm Zoom Client for Meetings (standart ve BT yöneticisi için) sürümleri

Kaynak: Objective-See'den Patrick Wardle tarafından bildirildi

ZSB-22002 02/08/2022 Zoom Team Chat Zip Bombasından Kolayca Etkilenebiliyor Kritik CVE-2022-22780

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 4.7

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L

Açıklama: Zoom Client for Meetings'in sohbet işlevi, şu ürün sürümlerinde Zip bombası saldırılarından kolayca etkilenebiliyordu: 5.8.6 öncesi Android sürümleri, 5.9.0 öncesi iOS sürümleri, 5.8.6 öncesi Linux sürümleri, 5.7.3 öncesi macOS sürümleri ve 5.6.3 öncesi Windows sürümleri. Bu durum, sistem kaynaklarını tüketerek istemci ana bilgisayarında kullanılabilirlik sorunlarına neden olabiliyordu.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.8.6 öncesi tüm Android için Zoom Client for Meetings sürümleri
  • 5.9.0 öncesi tüm iOS için Zoom Client for Meetings sürümleri
  • 5.8.6 öncesi tüm Linux için Zoom Client for Meetings sürümleri
  • 5.7.3 öncesi tüm macOS için Zoom Client for Meetings sürümleri
  • 5.6.3 öncesi tüm Windows için Zoom Client for Meetings sürümleri

Kaynak: Walmart Global Tech'ten Johnny Yu tarafından bildirilmiştir

ZSB-22001 02/08/2022 macOS ve Windows için Keybase istemcilerinde saklanan ayrıntı dökümlü mesajlar Kritik CVE-2022-22779

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 3.7

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Açıklama: 5.9.0 öncesi macOS ve Windows için Keybase İstemcileri sürümlerinde, bir kullanıcı tarafından başlatılan ayrıntı dökümlü mesajlar düzgün bir şekilde kaldırılamıyor. Bu durum, mesajı alan kullanıcının sohbet olmayan bir özelliğe geçmesi ve gönderen kullanıcının mesaja ait ayrıntı dökümlerini almadan önce ana bilgisayarı uyku durumuna geçirmesi halinde oluşabiliyor. Bu durum, kullanıcının dosya sisteminden silinmesi amaçlanan hassas bilgilerin ifşa olmasına neden olabilir.

Kullanıcılar mevcut güncellemeleri yükleyerek veya tüm güncel güvenlik güncellemelerinin yer aldığı en yeni Keybase yazılımı sürümünü https://keybase.io/download adresinden indirerek kendilerini bu duruma karşı korumaya alabilir.

Etkilenen Ürünler:

  • 5.9.0 öncesi tüm Windows için Keybase İstemcisi sürümleri

Kaynak: Olivia O'Hara tarafından bildirildi

ZSB-21022 12/14/2021 Windows için Keybase İstemcisi'nde rastgele komut yürütme Kritik CVE-2021-34426

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 5.3

CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

Açıklama: Windows için Keybase İstemcisi 5.6.0 öncesindeki sürümlerde, kullanıcılar komut satırında "keybase git lfs-config" komutunu yürüttüğünde bir güvenlik açığı oluştuğu keşfedilmiştir. 5.6.0 öncesi sürümlerde, bir kullanıcının Git deposuna yazma erişimi olan kötü niyetli aktörlerin bu güvenlik açığından faydalanarak kullanıcıların yerel sisteminde rastgele Windows komutları yürütmesi söz konusu olabilir.

Kullanıcılar mevcut güncellemeleri yükleyerek veya tüm güncel güvenlik güncellemelerinin yer aldığı en yeni Keybase yazılımı sürümünü https://keybase.io/download adresinden indirerek kendilerini bu duruma karşı korumaya alabilir.

Etkilenen Ürünler:

  • 5.6.0 öncesi tüm Windows için Keybase İstemcisi sürümleri

Kaynak: RyotaK tarafından bildirildi

ZSB-21021 12/14/2021 Zoom Client for Meetings'de Sunucu Tarafı İstek Sahtekârlığı Kritik CVE-2021-34425

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 4.7

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N

Açıklama: 5.7.3 öncesi Zoom Client for Meetings sürümlerinde (Android, iOS, Linux, macOS ve Windows için), sohbet içindeki "bağlantı önizlemesi" fonksiyonunda sunucu tarafı istek sahtekârlığına karşı bir güvenlik açığı mevcuttur. 5.7.3 öncesi sürümlerde; sohbetteki "bağlantı önizlemesi" özelliğini etkinleştiren bir kullanıcının kötü niyetli bir aktör tarafından kandırılması ve aktörün doğrudan ulaşamayacağı URL'lere rastgele HTTP GET istekleri göndermesi söz konusu olabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.7.3 öncesi tüm Zoom Client for Meetings sürümleri (Android, iOS, Linux, macOS ve Windows için)

Kaynak: Walmart Global Tech'ten Johnny Yu tarafından bildirilmiştir

ZSB-21020 11/24/2021 Zoom Client'ta ve diğer ürünlerde işleme belleği ifşası Kritik CVE-2021-34424

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 5.3

CVSS Vektör Dizesi: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Açıklama: Bu bültenin "Etkilenen Ürünler" bölümünde listelenen ürünlerde, işlem belleği durumunun ifşa olmasına yol açabilecek bir güvenlik açığı keşfedilmiştir. Bu açıktan faydalananlar, ürün belleğindeki rastgele alanlar hakkında bilgi edinebilir.

Zoom, aşağıdaki bölümde listelenen ürünlerin en güncel sürümlerinde bu sorunu çözmüştür. Kullanıcılar, mevcut güncellemeleri yükleyerek veya tüm güncel güvenlik güncellemelerinin yer aldığı en son Zoom yazılımını indirerek kendilerini bu duruma karşı korumaya alabilir.

Etkilenen Ürünler:

  • 5.8.4 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri
  • 5.8.1 öncesi Blackberry (Android ve iOS) için Zoom Client for Meetings sürümleri
  • 5.8.4 öncesi intune (Android ve iOS) için Zoom Client for Meetings sürümleri
  • 5.0.1 öncesi Chrome işletim sistemi için Zoom Client for Meetings sürümleri
  • 5.8.3 öncesi Zoom Rooms for Conference Room (Android, AndroidBali, macOS ve Windows için) sürümleri
  • 5.8.3 öncesi Zoom Rooms için Kontrolörler (Android, iOS ve Windows) sürümleri
  • 5.8.4 öncesi Zoom VDI Windows Meeting Client sürümleri
  • 5.8.4.21112 öncesi Zoom VDI Azure Sanal Masaüstü Eklentileri (Windows x86 veya x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64 için) sürümleri
  • 5.8.4.21112 öncesi Zoom VDI Citrix Eklentileri (Windows x86 veya x64, Mac Genel Amaçlı Yükleyici ve Kaldırıcı, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) sürümleri
  • 5.8.4.21112 öncesi Zoom VDI VMware Eklentileri (Windows x86 veya x64, Mac Genel Amaçlı Yükleyici ve Kaldırıcı, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) sürümleri
  • 5.7.6.1922 öncesi Android için Zoom Meeting SDK sürümleri
  • 5.7.6.1082 öncesi iOS için Zoom Meeting SDK sürümleri
  • 5.7.6.1081 öncesi Windows için Zoom Meeting SDK sürümleri
  • 5.7.6.1340 öncesi Mac için Zoom Meeting SDK sürümleri
  • 1.1.2 öncesi Zoom Video SDK (Android, iOS, macOS ve Windows için) sürümleri
  • 4.8.12.20211115 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı sürümleri
  • 4.8.12.20211115 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümleri
  • 5.1.0.65.20211116 öncesi Zoom Şirket İçi Kayıt Bağlayıcısı sürümleri
  • 4.4.7266.20211117 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı sürümleri
  • 2.5.5692.20211117 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı Yük Dengeleyici sürümleri
  • 1.0.1058.20211116 öncesi Zoom Hybrid Zproxy sürümleri
  • 4.6.20211116.131_x86-64 öncesi Zoom Hybrid MMR sürümleri

Kaynak: Google Project Zero'dan Natalie Silvanovich tarafından bildirilmiştir

ZSB-21019 11/24/2021 Zoom Client'ta ve diğer ürünlerde arabellek taşması Kritik CVE-2021-34423

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.3

CVSS Vektör Dizesi: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Açıklama: Bu bültenin "Etkilenen Ürünler" bölümünde listelenen ürünlerde, arabellek taşması ile ilgili bir güvenlik açığı keşfedilmiştir. Bu durum kötü niyetli bir aktörün hizmeti veya uygulamayı çökertmesine veya bu güvenlik açığından faydalanarak rastgele kod yürütmesine neden olabilir.

Zoom, aşağıdaki bölümde listelenen ürünlerin en güncel sürümlerinde bu sorunu çözmüştür. Kullanıcılar, mevcut güncellemeleri yükleyerek veya tüm güncel güvenlik güncellemelerinin yer aldığı en son Zoom yazılımını indirerek kendilerini bu duruma karşı korumaya alabilir.

Etkilenen Ürünler:

  • 5.8.4 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri
  • 5.8.1 öncesi Blackberry (Android ve iOS) için Zoom Client for Meetings sürümleri
  • 5.8.4 öncesi intune (Android ve iOS) için Zoom Client for Meetings sürümleri
  • 5.0.1 öncesi Chrome işletim sistemi için Zoom Client for Meetings sürümleri
  • 5.8.3 öncesi Zoom Rooms for Conference Room (Android, AndroidBali, macOS ve Windows için) sürümleri
  • 5.8.3 öncesi Zoom Rooms için Kontrolörler (Android, iOS ve Windows) sürümleri
  • 5.8.4 öncesi Zoom VDI Windows Meeting Client sürümleri
  • 5.8.4.21112 öncesi Zoom VDI Azure Sanal Masaüstü Eklentileri (Windows x86 veya x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64 için) sürümleri
  • 5.8.4.21112 öncesi Zoom VDI Citrix Eklentileri (Windows x86 veya x64, Mac Genel Amaçlı Yükleyici ve Kaldırıcı, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) sürümleri
  • 5.8.4.21112 öncesi Zoom VDI VMware Eklentileri (Windows x86 veya x64, Mac Genel Amaçlı Yükleyici ve Kaldırıcı, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) sürümleri
  • 5.7.6.1922 öncesi Android için Zoom Meeting SDK sürümleri
  • 5.7.6.1082 öncesi iOS için Zoom Meeting SDK sürümleri
  • 5.7.6.1340 öncesi macOS için Zoom Meeting SDK sürümleri
  • 5.7.6.1081 öncesi Windows için Zoom Meeting SDK sürümleri
  • 1.1.2 öncesi Zoom Video SDK (Android, iOS, macOS ve Windows için) sürümleri
  • 4.8.12.20211115 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı Kontrolörü sürümleri
  • 4.8.12.20211115 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümleri
  • 5.1.0.65.20211116 öncesi Zoom Şirket İçi Kayıt Bağlayıcısı sürümleri
  • 4.4.7266.20211117 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı sürümleri
  • 2.5.5692.20211117 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı Yük Dengeleyici sürümleri
  • 1.0.1058.20211116 öncesi Zoom Hybrid Zproxy sürümleri
  • 4.6.20211116.131_x86-64 öncesi Zoom Hybrid MMR sürümleri

Kaynak: Kaynak: Google Project Zero'dan Natalie Silvanovich tarafından bildirilmiştir

ZSB-21018 11/09/2021 Windows için Keybase İstemcisi'nde dosya adları için yol geçişi Kritik CVE-2021-34422

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.2

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

Açıklama: 5.7.0 öncesi Windows için Keybase İstemcisi sürümlerinde, bir ekip klasörüne yüklenen dosya adının kontrol edilmesi sırasında oluşan bir yol geçişi güvenlik açığı mevcuttur. Kötü niyetli bir kullanıcı, özel hazırlanmış dosya adına sahip bir dosyayı paylaşımlı klasöre yükleyerek, kullanıcının aslında ana makinede yürütülmesi amaçlanmamış olan bir uygulamayı yürütmesine neden olabilir. Kötü niyetli kullanıcı bu sorunla birlikte Keybase istemcisinin ortak klasör paylaşım özelliğinden de faydalanarak uzaktan kod yürütme gerçekleştirebilir.

Keybase bu sorunu Windows için Keybase İstemcisi 5.7.0 sürümünde çözmüştür. Kullanıcılar mevcut güncellemeleri yükleyerek veya tüm güncel güvenlik güncellemelerinin yer aldığı en yeni Keybase yazılımı sürümünü https://keybase.io/download adresinden indirerek kendilerini bu duruma karşı korumaya alabilir.

Etkilenen Ürünler:

  • 5.7.0 öncesi Windows için Keybase İstemcisi sürümleri

Kaynak: m4t35z tarafından bildirilmiştir

ZSB-21017 11/09/2021 Android ve iOS için Keybase istemcilerinde saklanan ayrıntı dökümlü mesajlar Kritik CVE-2021-34421

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 3.7

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Açıklama: Android için Keybase İstemcisi 5.8.0 ve iOS için Keybase İstemcisi 5.8.0 öncesi sürümlerde; gönderen kullanıcının mesaja ait ayrıntı dökümlerini alması sırasında mesajı alan kullanıcının sohbet oturumunu arka plana alması halinde, kullanıcı tarafından başlatılan ayrıntı dökümlü mesajlar düzgün şekilde kaldırılamıyor. Bu durum, müşterinin cihazından silinmesi amaçlanan hassas bilgilerin ifşa olmasına neden olabilir.

Keybase bu sorunu 5.8.0 Android için Keybase İstemcisi ve 5.8.0 iOS için Keybase İstemcisi sürümlerinde çözmüştür. Kullanıcılar mevcut güncellemeleri yükleyerek veya tüm güncel güvenlik güncellemelerinin yer aldığı en yeni Keybase yazılımı sürümünü https://keybase.io/download adresinden indirerek kendilerini bu duruma karşı korumaya alabilir.

Etkilenen Ürünler:

  • 5.8.0 öncesi tüm Android için Keybase İstemcisi sürümleri
  • 5.8.0 öncesi tüm iOS için Keybase İstemcisi sürümleri

Kaynak: Olivia O'Hara, John Jackson, Jackson Henry ve Robert Willis tarafından bildirilmiştir

ZSB-21016 11/09/2021 Zoom Windows kurulumu yürütülebilir imza atlaması Kritik CVE-2021-34420

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 4.7

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N

Açıklama: Windows için Zoom Client for Meetings yükleyici 5.5.4 öncesi sürümlerinde .msi, .ps1 ve .bat uzantılı dosyaların imzaları düzgün şekilde doğrulanamıyor. Bu sorun, kötü niyetli bir aktörün müşterinin bilgisayarına kötü niyetli yazılım yüklemesine neden olabilir.

Zoom bu sorunu Windows için Zoom Client for Meetings 5.5.4 sürümünde çözmüştür. Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.5.4 öncesi tüm Windows için Zoom Client for Meetings sürümleri

Kaynak: ManoMano'dan Laurent Delosieres tarafından bildirilmiştir

ZSB-21015 11/09/2021 Zoom Linux istemcisinde HTML enjeksiyonu Kritik CVE-2021-34419

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 3.7

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

Açıklama: Ubuntu Linux için Zoom Client for Meetings 5.1.0 öncesi sürümlerde, toplantı içinde ekran paylaşımı yapılırken bir kullanıcıya uzaktan kontrol isteği gönderildiğinde bir HTML enjeksiyonu hatası oluşuyor. Bu sorun, toplantı katılımcılarının sosyal mühendislik saldırıları için hedef alınmasına neden olabilir.

Zoom bu sorunu Ubuntu Linux için Zoom Client for Meetings 5.1.0 sürümünde çözmüştür. Kullanıcılar mevcut güncellemeleri yükleyerek veya tüm güncel güvenlik güncellemelerinin yer aldığı en yeni Zoom yazılım sürümünü https://zoom.us/download adresinden indirerek kendilerini bu duruma karşı korumaya alabilir.

Etkilenen Ürünler:

  • 5.1.0 öncesi Ubuntu Linux için Zoom Client for Meetings sürümleri

Kaynak: hackdefense'ten Danny de Weille ve Rick Verdoes tarafından bildirilmiştir

ZSB-21014 11/09/2021 Şirket içi web konsolunda kimlik doğrulama öncesi Boş işaretçi çökmesi Kritik CVE-2021-34418

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 4.0

CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Açıklama: Bu bültenin "Etkilenen Ürünler" bölümünde listelenen ürünler için web konsolunun oturum açma hizmeti, kimlik doğrulama sırasında NULL (BOŞ) bayt gönderildiğini doğrulayamıyor. Bu, oturum açma hizmetinin çökmesine neden olabilir.

Etkilenen Ürünler:

  • 4.6.239.20200613 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı Kontrolörü sürümleri
  • 4.6.239.20200613 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümleri
  • 3.8.42.20200905 öncesi Zoom Şirket İçi Kayıt Bağlayıcısı sürümleri
  • 4.4.6344.20200612 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı sürümleri
  • 2.5.5492.20200616 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı Yük Dengeleyici sürümleri

Kaynak: Jeremy Brown tarafından bildirilmiştir

ZSB-21013 11/09/2021 MMR'de web konsolu aracılığıyla kök ayrıcalıkları ile kimliği doğrulanmış uzaktan komut yürütme Kritik CVE-2021-34417

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.9

CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N

Açıklama: Bu bültenin "Etkilenen Ürünler" bölümünde listelenen ürünlerin web portalındaki ağ proxy sayfası, ağ proxy parolasını belirlemeye yönelik isteklerde gönderilen girdileri doğrulayamıyor. Bu sorun, bir web portalı yöneticisi tarafından uzaktan komut enjeksiyonu yapılabilmesine neden olabilir.

Etkilenen Ürünler:

  • 4.6.365.20210703 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı Kontrolörü sürümleri
  • 4.6.365.20210703 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümleri
  • 3.8.45.20210703 öncesi Zoom Şirket İçi Kayıt Bağlayıcısı sürümleri
  • 4.4.6868.20210703 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı sürümleri
  • 2.5.5496.20210703 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı Yük Dengeleyici sürümleri

Kaynak: Jeremy Brown tarafından bildirilmiştir

ZSB-21012 09/30/2021 Web portalı aracılığıyla Şirket İçi İmajlara karşı Uzaktan Kod Yürütme Kritik CVE-2021-34416

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 5.5

CVSS Vektör Dizesi: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N

Açıklama: 4.6.360.20210325 sürümü öncesi Zoom Şirket İçi Toplantı Bağlayıcısı, 4.6.360.20210325 sürümü öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR, 3.8.44.20210326 sürümü öncesi Zoom Şirket İçi Kayıt Bağlayıcısı, 4.4.6752.20210326 sürümü öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı ve 2.5.5495.20210326 sürümü öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı Yük Dengeleyici için ağ adresi yönetim ayarları web portalı, ağ yapılandırmasını güncelleme isteklerinde gönderilen girdileri doğrulayamıyor. Bu sorun, web portalı yöneticilerinin şirket içi imaja uzaktan komut enjeksiyonu yapabilmesine neden olabilir.

Etkilenen Ürünler:

  • 4.6.360.20210325 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı sürümleri
  • 4.6.360.20210325 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümleri
  • 3.8.44.20210326 öncesi Zoom Şirket İçi Kayıt Bağlayıcısı sürümleri
  • 4.4.6752.20210326 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı sürümleri
  • 2.5.5495.20210326 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı Yük Dengeleyici sürümleri

Kaynak: Positive Technologies'ten Egor Dimitrenko tarafından bildirilmiştir

ZSB-21011 09/30/2021 Birden çok tahsisin yapılmasına neden olan PDU kullanımlı ZC çökmesi Kritik CVE-2021-34415

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.5

CVSS Vektör Dizesi: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Açıklama: 4.6.358.20210205 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı Kontrolörü sürümlerindeki Bölge Kontrolörü, gelen ağ paketlerinde gönderilen cnt alanını doğrulayamıyor ve bu da kaynakların tükenmesine ve sistemine çökmesine neden oluyor.

Etkilenen Ürünler:

  • 4.6.358.20210205 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı Kontrolörü sürümleri

Kaynak: Positive Technologies'ten Nikita Abramov tarafından bildirilmiştir

ZSB-21010 09/30/2021 Web portalı ağ proxy yapılandırması aracılığıyla Toplantı Bağlayıcısı sunucusuna karşı Uzaktan Kod Yürütme Kritik CVE-2021-34414

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.2

CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Açıklama: 4.6.348.20201217 sürümü öncesi Zoom Şirket İçi Toplantı Bağlayıcısı Kontrolörü, 4.6.348.20201217 sürümü öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR, 3.8.42.20200905 sürümü öncesi Zoom Şirket İçi Kayıt Bağlayıcısı, 4.4.6620.20201110 sürümü öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı ve 2.5.5495.20210326 sürümü öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı Yük Dengeleyici için web portalındaki ağ proxy sayfası, ağ proxy yapılandırmasını güncelleme isteklerinde gönderilen girdileri doğrulayamıyor. Bu sorun, bir web portalı yöneticisinin şirket içi imaja uzaktan komut enjeksiyonu yapabilmesine neden olabilir.

Etkilenen Ürünler:

  • 4.6.348.20201217 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı Kontrolörü sürümleri
  • 4.6.348.20201217 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümleri
  • 3.8.42.20200905 öncesi Zoom Şirket İçi Kayıt Bağlayıcısı sürümleri
  • 4.4.6620.20201110 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı sürümleri
  • 2.5.5495.20210326 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı Yük Dengeleyici sürümleri

Kaynak: Positive Technologies'ten Egor Dimitrenko tarafından bildirilmiştir

ZSB-21009 09/30/2021 Zoom macOS Outlook Eklenti Yükleyici Yerel Ayrıcalık Yükseltme Kritik CVE-2021-34413

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 2.8

CVSS Vektör Dizesi: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N

Açıklama: 5.3.52553.0918 öncesi tüm macOS Microsoft Outlook Zoom Eklentisi sürümlerinde eklenti yükleme işlemi sırasında oluşan Kontrol zamanı/Kullanım zamanı (TOC/TOU) ilişkili bir güvenlik açığı bulunuyor. Bu sorun, standart bir kullanıcının eklenti dizinine kendi kötü amaçlı yazılımını yazabilmesine ve bu kötü amaçlı yazılımın ayrıcalıklı bağlamda yürütülebilmesine olanak verebilir.

Etkilenen Ürünler:

  • 5.3.52553.0918 öncesi tüm macOS Microsoft Outlook Zoom Eklentisi sürümleri

Kaynak: Lockheed Martin Red Ekibi tarafından bildirilmiştir

ZSB-21008 09/30/2021 Zoom for Windows Yükleyici Yerel Ayrıcalık Yükseltme Kritik CVE-2021-34412

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 4.4

CVSS Vektör Dizesi: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Açıklama: 5.4.0 öncesi tüm Windows için Zoom Client for Meetings sürümlerinde yükleme işlemi yapılırken Internet Explorer'ın başlatılması mümkündür. Yükleyici, SCCM ile olana benzer yükseltilmiş ayrıcalıklarla başlatılmışsa bu durum yerel ayrıcalık yükseltmeye de neden olabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.4.0 öncesi Windows için Zoom Client for Meetings sürümleri

Kaynak: Lockheed Martin Red Ekibi tarafından bildirilmiştir

ZSB-21007 09/30/2021 Zoom Rooms Yükleyici Yerel Ayrıcalık Yükseltme Kritik CVE-2021-34411

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 4.4

CVSS Vektör Dizesi: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Açıklama: 5.3.0 öncesi Windows için Zoom Rooms for Conference Room sürümleri için yükleme işlemi yapılırken Internet Explorer'ın yükseltilmiş ayrıcalıklar ile başlatılması mümkündür. Yükleyici, SCCM ile olana benzer yükseltilmiş ayrıcalıklarla başlatılmışsa bu durum yerel ayrıcalık yükseltmeye de neden olabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.3.0 öncesi Windows için Zoom Rooms for Conference Room sürümleri
  • 5.1.0 sürümü Zoom Rooms for Conference sürümleri

Kaynak: Lockheed Martin Red Ekibi tarafından bildirilmiştir

ZSB-21004 09/30/2021 Zoom MSI Yükleyicide Bağlantı Kullanımı ile Yükseltilmiş Yazma Kritik CVE-2021-34408

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.0

CVSS Vektör Dizesi: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Açıklama: 5.3.2 öncesi Windows için Zoom Client for Meetings sürümlerinin yüklenmesi sırasında oluşturulan ve kullanıcının yazım yapabildiği dizin, bir bağlantı kullanılarak başka bir konuma yönlendirilebilir. Bu durum, güvenlik saldırısını yapan kişinin normalde sınırlı yetkilere sahip bir kullanıcı tarafından değiştirilemeyecek dosyalar üzerine yazabilmesine olanak sağlar.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.3.2 öncesi Windows için Zoom Client for Meetings sürümleri

Kaynak: Lockheed Martin Red Ekibi tarafından bildirilmiştir

ZSB-21003 09/30/2021 Windows Zoom Yükleyici Dijital İmza Atlama Kritik CVE-2021-33907

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.0

CVSS Vektör Dizesi: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H/MPR:N/MUI:R/MS:U/MC:H/MI:H/MA:H

Açıklama: 5.3.0 öncesi tüm Windows için Zoom Client for Meetings sürümlerinde, istemci güncellenirken .msi dosyalarının imzalanması için kullanılan sertifika bilgileri düzgün şekilde doğrulanamıyor. Bu sorun, yükseltilmiş bir ayrıcalıklı bağlamda uzaktan kod yürütülebilmesine olanak verir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.3.0 öncesi tüm Windows için Zoom Client for Meetings sürümleri

Kaynak: Lockheed Martin Red Ekibi tarafından bildirilmiştir

ZSB-21002 08/13/2021 XMPP mesajından statik arabellek işaretsiz yazımından yığın taşması Kritik CVE-2021-30480

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.1

CVSS Vektör Dizesi: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H

Açıklama: Zoom Client for Meetings 5.6.3 sürümünden önceki tüm masaüstü sürümlerinde yığın tabanlı arabellek taşması mevcuttur. Bu Bulgu, 2021 Pwn20wn Vancouver'ın bir parçası olarak Zoom'a bildirilmiştir. Pwn20wn sırasında gösterilen saldırı zinciri, 04/09/2021'de Zoom'un altyapısındaki sunucu tarafındaki bir değişiklikle hafifletilmiştir.

Pwn20wn sırasında bildirilen diğer iki sorun - bir Zoom Mağazası uygulaması URL'sine erişmek için bir XMPP mesajı gönderirken uygunsuz URL doğrulaması ve bir GIPHY görüntüsü görüntülerken uygunsuz URL doğrulaması - ile birleştirildiğinde, kötü niyetli bir kullanıcı bir hedefin bilgisayarında uzaktan kod çalıştırmayı başarabilir.
Bu saldırının başarılı olması için hedefin daha önce kötü niyetli kullanıcıdan gelen bir Bağlantı İsteğini kabul etmiş olması veya kötü niyetli kullanıcıyla çok kullanıcılı bir sohbette bulunması gerekir. Pwn20wn'de gösterilen saldırı zinciri hedefler tarafından yüksek oranda görülebilir ve birden fazla istemci bildiriminin gerçekleşmesine neden olabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • Zoom Client for Meetings 5.6.3'ten önceki tüm masaüstü sürümleri

Kaynak: Computest'ten Daan Keuper ve Thijs Alkemade tarafından Zero Day Initiative aracılığıyla bildirildi

ZSB-21001 03/26/2021 Uygulama Penceresi Ekran Paylaşımı İşlevi Kritik CVE-2021-28133

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 5.7

CVSS Vektör Dizesi: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

Açıklama: Bir güvenlik açığı, tek tek uygulama pencerelerini paylaşırken Zoom Windows ve Linux İstemcilerinin paylaşım ekranı çalışmasını etkiledi, bu açıkta "paylaşan kişi" başka bir pencereyi küçültüyorsa, büyütüyorsa veya kapatıyorsa, ekranı paylaşan kullanıcılar tarafından açıkça paylaşılmayan uygulamaların ekran içeriği diğer toplantı katılımcıları tarafından kısa bir süre için görülebiliyor.

Zoom, Zoom Windows İstemcisi sürüm 5.6'da bu sorunun Windows kullanıcıları için oluşma olasılığını azaltan birkaç yeni güvenlik riski azaltıcı özellik getirdi. Etkilenen tüm platformlarda bu sorunu çözmek için ek önlemler üzerinde çalışmaya devam ediyoruz.

Zoom bu sorunu ayrıca 1 Mart 2021 tarihinde 5.5.4. Zoom Linux Client sürümünde Ubuntu kullanıcıları için de çözmüştür. Kullanıcılar mevcut güncellemeleri uygulayabilir veya https://zoom.us/download adresinden tüm mevcut güvenlik güncellemeleri ile en son Zoom yazılımını indirebilir.

Etkilenen Ürünler:

  • Tüm Windows Zoom İstemcisi sürümleri
  • Ubuntu'da 5.5.4'den önceki Linux Zoom İstemcisi sürümleri
  • Desteklenen diğer dağıtımlardaki tüm Linux İstemci sürümleri

Kaynak: Michael Stramez ve Matthias Deeg tarafından keşfedildi.

ZSB-20002 08/14/2020 Zoom Paylaşım Hizmeti'ndeki Windows DLL Kritik CVE-2020-9767

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.8

CVSS Vektör Dizesi: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Açıklama: Zoom Paylaşım Hizmeti'ne yüklenen Dinamik Bağlantı Kitaplığı ("DLL") ile ilgili bir güvenlik açığı, yerel bir Windows kullanıcısının ayrıcalıkları NT AUTHORITY/SYSTEM kullanıcısının ayrıcalıklarına yükseltebilmesine olanak verebilmektedir.

Güvenlik açığı, imzalı bir yürütülebilir dosya yüklenirken dinamik olarak yüklenen DLL'lerin imza denetimlerinin yetersizliği kaynaklıdır. Saldırgan, kötü amaçlı bir DLL'yi imzalı bir çalıştırılabilir Zoom dosyasına ekleyerek ve yükseltilmiş izinlere sahip işlemleri başlatmak için kullanarak bu güvenlik açığından yararlanabilir.

Zoom bu sorunu 5.0.4 istemci sürümünde ele almıştır. Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 5.0.4'den önceki Zoom Windows yükleyicisi (ZoomInstallerFull.msi) sürümleri

Kaynak: Context Bilgi Güvenliği'nden Connor Scott

ZSB-20001 05/04/2020 Windows için Zoom BT Yükleyicisi Kritik CVE-2020-11443

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: Taban: 8.4

CVSS Vektör Dizesi: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Açıklama: Dosyaları silerken Zoom Windows yükleyicisinin birleşimleri işleme biçimindeki bir güvenlik açığı, yerel bir Windows kullanıcısının kullanıcı tarafından silinemez dosyaları silmesine izin verebilir.

Güvenlik açığı, yükleyicinin dosyaları sildiği, standart kullanıcılar tarafından yazılabilen dizindeki bağlantı noktalarının yetersiz denetlenmesinden kaynaklanır. Kötü niyetli bir yerel kullanıcı, etkilenen dizinde korumalı sistem dosyaları veya kullanıcının izinleri olmayan diğer dosyaları gösteren bir bağlantı oluşturarak bu güvenlik açığından yararlanabilir. Zoom Windows yükleyicisini yükseltilmiş izinlerle çalıştırdıktan sonra, yönetilen dağıtım yazılımı aracılığıyla çalıştırıldığında olduğu gibi, bu dosyalar sistemden silinir.

Zoom bu sorunu 4.6.10 istemci sürümünde ele almıştır. Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 4.6.10'dan önceki Zoom Windows yükleyicisi (ZoomInstallerFull.msi) sürümleri

Kaynak: Lockheed Martin Kırmızı Ekibi sayesinde.

ZSB-19003 07/12/2019 ZoomOpener hayalet programı Kritik CVE-2019-13567

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: Taban: 7.5

CVSS Vektör Dizesi: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Açıklama: Zoom macOS istemcilerindeki bir güvenlik açığı, saldırganın kurbanın cihazına kötü amaçlı yazılım indirmesine olanak sağlayabilir.

Güvenlik açığı, yanlış giriş doğrulamasından ve ZoomOpener yardımcı uygulamasında karşıdan yüklenen yazılımın doğrulanmasından kaynaklanmaktadır. Saldırgan, bir kurbanın cihazından saldırgan adına dosya indirmesini istemek için bu güvenlik açığından yararlanabilir. Başarılı bir yetkisiz erişim ancak kurban daha önce Zoom İstemcisi'ni kaldırmışsa mümkündür.

Zoom bu sorunu 4.4.52595.0425 istemci sürümünde ele almıştır. Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 4.4.52595.0425 öncesi ve 4.1.27507.0627 sonrası Zoom macOS istemcisi sürümleri

Kaynak: Bilinmiyor.

ZSB-19002 07/09/2019 Varsayılan Video Ayarı Kritik CVE-2019-13450

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: Taban: 3.1

CVSS Vektör Dizesi: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

Açıklama: macOS Zoom ve RingCentral istemcilerindeki bir güvenlik açığı, kimliği doğrulanmamış uzak bir saldırganın, kullanıcıyı video kamera etkinken görüntülü aramaya katılmaya zorlamasına izin verebilir.

Güvenlik açığı, hangi sistemlerin 19421 numaralı bağlantı noktasında çalışan yerel Zoom Web sunucusuyla iletişim kurabileceğini denetlemek için yeterli yetkilendirme denetiminin yetersizliği nedeniyledir. Saldırgan, Zoom istemcisi'nin saldırgan tarafından ayarlanan bir toplantıya otomatik olarak katılmasına neden olan kötü amaçlı bir web sitesi oluşturarak bu güvenlik açığından yararlanabilir.

Zoom, 14 Temmuz 2019'da yayınlanan İstemci sürümü 4.4.5'te, bir toplantıya katılmadan önce kullanıcıya sunulan yeni bir Video Önizleme iletişim kutusunu uygulamaya koydu. Bu iletişim kutusu, video etkin olsun veya olmasın kullanıcının toplantıya katılmasını sağlar ve kullanıcının video için istediği varsayılan davranışı ayarlamasını gerektirir. Zoom, müşterilerinden https://zoom.us/download adresinde bulunan en son Zoom İstemcisi sürümünü yüklemelerini istemektedir.

Etkilenen Ürünler:

  • 4.4.5 öncesi Zoom macOS İstemcisi sürümleri
  • 4.4.5 öncesi RingCentral macOS istemcisi sürümleri

Kaynak: Jonathan Leitschuh tarafından geliştirildi.

ZSB-19001 07/09/2019 Hizmet reddi saldırısı - macOS Kritik CVE-2019-13449

Önem Derecesi: Kritik

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: Taban: 3.1

CVSS Vektör Dizesi: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Açıklama: macOS Zoom istemcisindeki bir güvenlik açığı; uzak, kimlik doğrulaması olmayan bir saldırganın kurbanın sisteminde hizmet reddi koşulu tetiklemesine izin verebilir.

Güvenlik açığı, hangi sistemlerin 19421 numaralı bağlantı noktasında çalışan yerel Zoom Web sunucusuyla iletişim kurabileceğini denetlemek için yeterli yetkilendirme denetiminin yetersizliği nedeniyledir. Saldırgan, Zoom istemcisinin geçersiz bir toplantı kimliğiyle toplantıya tekrar tekrar katılmaya çalışmasına neden olan kötü amaçlı bir web sitesi oluşturarak bu güvenlik açığından yararlanabilir. Sonsuz döngü, Zoom istemcisinin çalışmaz hale gelmesine neden olur ve çalıştığı sistemin performansını etkileyebilir.

Zoom, sorunu gidermek için 28 Nisan 2019'da macOS istemcisinin 4.4.2 düzeltmesini yayınladı. Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Etkilenen Ürünler:

  • 4.4.5 öncesi Zoom macOS İstemcisi sürümleri
  • 4.4.5 öncesi RingCentral macOS istemcisi sürümleri

Kaynak: Jonathan Leitschuh tarafından geliştirildi.

No results found

Gelecekteki Zoom Güvenlik Bültenleri hakkında bildirim almak için lütfen bireysel e-posta adresinizi girin. (Not: E-posta takma isimleri bu bildirimleri almayacaktır.)