Güvenlik Bülteni
Güvenlik Bülteni
Zoom, Zoom Güvenlik Bülteni nedeniyle bireysel müşterilere güvenlik açığının etkileri hakkında yönlendirme sağlamamakta ve bir güvenlik açığı hakkında ek bilgiler sunmamaktadır. Kullanıcıların en yeni düzeltme ve güvenlik iyileştirmelerini edinmek için Zoom yazılımını son sürümüne güncellemelerini öneririz.
ZSB | Tarih | Başlık | Önem Derecesi | CVE (varsa) | |
---|---|---|---|---|---|
|
ZSB-24008 | 02/13/2024 | Windows için Zoom Masaüstü İstemcisi, Windows için Zoom VDI İstemcisi ve Windows İçin Zoom Toplantı SDK'sı - Uygunsuz Giriş Doğrulaması | Kritik | CVE-2024-24691 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 9.6 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Açıklama: Windows için Zoom Masaüstü İstemcisi'ndeki, Windows için Zoom VDI İstemcisindeki ve Windows için Zoom Toplantı SDK'sındaki uygunsuz giriş doğrulaması, kimliği doğrulanmamış bir kullanıcının ağ erişimi yoluyla ayrıcalıkları yükseltebilmesine yol açabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik tarafından bildirilmiştir. |
|||||
|
ZSB-24007 | 02/13/2024 | Zoom İstemcileri - Uygunsuz Giriş Doğrulaması | Orta | CVE-2024-24690 |
Önem Derecesi: Orta Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 5.4 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
Açıklama: Bazı Zoom istemcilerindeki uygunsuz giriş doğrulaması, kimliği doğrulanmış bir kullanıcının ağ erişimi yoluyla bir hizmeti reddedebilmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik tarafından bildirilmiştir. |
|||||
|
ZSB-24006 | 02/13/2024 | Zoom İstemcileri - İşletme Mantığı Hatası | Orta | CVE-2024-24699 |
Önem Derecesi: Orta Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 6.5 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Açıklama: Bazı Zoom istemcileri için toplantı içi sohbet ile ilgili bir işletme mantığı hatası, kimliği doğrulanmış bir kullanıcının ağ erişimi üzerinden bilgileri ifşa etmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik tarafından bildirilmiştir. |
|||||
|
ZSB-24005 | 02/13/2024 | Zoom İstemcileri - Uygunsuz Kimlik Doğrulaması | Orta | CVE-2024-24698 |
Önem Derecesi: Orta Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 4.9 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
Açıklama: Bazı Zoom istemcilerindeki uygunsuz kimlik doğrulaması, ayrıcalıklı bir kullanıcının yerel erişim yoluyla bilgileri ifşa etmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik tarafından bildirilmiştir. |
|||||
|
ZSB-24004 | 02/13/2024 | Zoom İstemcileri - Güvenilir Olmayan Arama Yolu | Yüksek | CVE-2024-24697 |
Önem Derecesi: Yüksek Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.2 CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
Açıklama: Bazı Zoom 32 bit Windows istemcilerindeki güvenilir olmayan arama yolu, kimliği doğrulanmış bir kullanıcının yerel erişim üzerinden bir ayrıcalık yükseltme gerçekleştirmesine yol açabilir. Etkilenen Ürünler:
Kaynak: sim0nsecurity tarafından bildirildi. |
|||||
|
ZSB-24003 | 02/13/2024 | Windows için Zoom Masaüstü İstemcisi, Windows için Zoom VDI İstemcisi ve Windows İçin Zoom Toplantı SDK'sı - Uygunsuz Giriş Doğrulaması | Orta | CVE-2024-24696 |
Önem Derecesi: Orta Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 6.8 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N
Açıklama: Windows için Zoom Masaüstü İstemcisi, Windows için Zoom VDI İstemcisi ve Windows için Zoom Toplantı SDK'sı için toplantı içi sohbette uygunsuz giriş doğrulaması, kimliği doğrulanmış bir kullanıcının ağ erişimi üzerinden bilgileri ifşa etmesine yol açabilir. Etkilenen Ürünler:
Kaynak: Shmoul tarafından bildirilmiştir. |
|||||
|
ZSB-24002 | 02/13/2024 | Windows için Zoom Masaüstü İstemcisi, Windows için Zoom VDI İstemcisi ve Windows İçin Zoom Toplantı SDK'sı - Uygunsuz Giriş Doğrulaması | Orta | CVE-2024-24695 |
Önem Derecesi: Orta Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 6.8 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N
Açıklama: Windows için Zoom Masaüstü İstemcisi, Windows için Zoom VDI İstemcisi ve Windows için Zoom Toplantı SDK'sında uygunsuz giriş doğrulaması, kimliği doğrulanmış bir kullanıcının ağ erişimi üzerinden bilgileri ifşa etmesine yol açabilir. Etkilenen Ürünler:
Kaynak: Shmoul tarafından bildirilmiştir. |
|||||
|
ZSB-24001 | 01/09/2024 | Windows için Zoom Masaüstü İstemcisi, Windows için Zoom VDI İstemcisi ve Windows İçin Zoom SDK'ları - Uygunsuz Erişim Kontrolü | Kritik | CVE-2023-49647 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.8 CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Açıklama: 5.16.10 sürümü öncesinde Windows için Zoom Masaüstü İstemcisi, Vindows için Zoom VDI İstemcisi ve Windows için Zoom SDK'sındaki uygunsuz erişim kontrolü, kimliği doğrulanmış bir kullanıcının yerel erişim yoluyla ayrıcalıkları yükseltebilmesine yol açabilir. Etkilenen Ürünler:
Kaynak: sim0nsecurity tarafından bildirildi. |
|||||
|
ZSB-23062 | 12/12/2023 | Zoom İstemcileri - Uygunsuz Kimlik Doğrulaması | Kritik | CVE-2023-49646 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 5.4 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
Açıklama: 5.16.5 sürümünden önceki bazı Zoom istemcilerinde gerçekleşen uygunsuz giriş doğrulaması, kimliği doğrulanmış bir kullanıcının ağ erişimi yoluyla bir hizmeti reddedebilmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir. |
|||||
|
ZSB-23059 | 12/12/2023 | Windows için Zoom Masaüstü İstemcisi, Windows için Zoom VDI İstemcisi ve Windows İçin Zoom SDK'ları - Yol Ağ Geçişi | Kritik | CVE-2023-43586 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.3 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N
Açıklama: Windows için Zoom Masaüstü İstemcisi, Vindows için Zoom VDI İstemcisi ve Windows için Zoom SDK'larındaki yol ağ geçişi, kimliği doğrulanmış bir kullanıcının ağ erişimi yoluyla ayrıcalıkları yükseltebilmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: Shmoul tarafından bildirilmiştir. |
|||||
|
ZSB-23058 | 12/12/2023 | iOS için Zoom Mobil Uygulaması ve iOS için SDK'lar - Uygunsuz Erişim Kontrolü | Kritik | CVE-2023-43585 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.1 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L
Açıklama: 5.16.5 sürümünden önceki iOS için Zoom Mobil Uygulamasında ve iOS için SDK'lardaki uygunsuz erişim kontrolü, kimliği doğrulanmış bir kullanıcının ağ erişimi üzerinden bilgileri ifşa etmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir. |
|||||
|
ZSB-23056 | 12/12/2023 | Android için Zoom Mobil Uygulaması, iOS için Zoom Mobil Uygulaması ve Zoom SDK'ları - Şifreleme Sorunları | Kritik | CVE-2023-43583 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 4.9 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
Açıklama: 5.16.0 sürümünden önceki Android için Zoom Mobil Uygulaması, iOS için Zoom Mobil Uygulaması ve Android ile iOS için Zoom SDK'larında bulunan şifreleme sorunları, ayrıcalıklı bir kullanıcının ağ erişimi üzerinden bilgileri ifşa etmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir. |
|||||
|
ZSB-23055 | 11/14/2023 | Zoom İstemcileri - Uygunsuz Yetkilendirme | Kritik | CVE-2023-43582 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 5.5 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L
Açıklama: Bazı Zoom istemcilerindeki uygunsuz yetkilendirme, kimliği doğrulanmış bir kullanıcının ağ erişimi yoluyla bir ayrıcalığı yükseltebilmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir. |
|||||
|
ZSB-23054 | 11/14/2023 | MacOS için Zoom Rooms - Uygunsuz Ayrıcalık Yönetimi | Kritik | CVE-2023-43591 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.8 CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Açıklama: 5.16.0 sürümünden önceki MacOS için Zoom Rooms'ta uygunsuz ayrıcalık yönetimi, kimliği doğrulanmış bir kullanıcının yerel erişim yoluyla ayrıcalıkları yükseltmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: Eugene Lim (spaceraccoon) tarafından bildirilmiştir. |
|||||
|
ZSB-23053 | 11/14/2023 | MacOS için Zoom Rooms - Bağlantı İzleme | Kritik | CVE-2023-43590 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.8 CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Açıklama: 5.16.0 sürümünden önceki MacOS için Zoom Rooms'ta bağlantı izleme, kimliği doğrulanmış bir kullanıcının yerel erişim yoluyla ayrıcalıkları yükseltmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: Eugene Lim (spaceraccoon) tarafından bildirilmiştir. |
|||||
|
ZSB-23052 | 11/14/2023 | Zoom İstemcileri - Yetersiz Kontrol Akışı Yönetimi | Kritik | CVE-2023-43588 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 3.5 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N
Açıklama: Bazı Zoom istemcilerindeki yetersiz kontrol akışı yönetimi, kimliği doğrulanmış bir kullanıcının ağ erişimi üzerinden bilgileri ifşa etmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir. |
|||||
|
ZSB-23051 | 11/14/2023 | Zoom İstemcileri - Şifreleme Sorunları | Kritik | CVE-2023-39199 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 4.9 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
Açıklama: Bazı Zoom istemcileri için Toplantı İçi Sohbet ile ilgili şifreleme sorunları, ayrıcalıklı bir kullanıcının ağ erişimi üzerinden bilgileri ifşa etmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir. |
|||||
|
ZSB-23050 | 11/14/2023 | Zoom İstemcileri - Arabellek Taşması | Kritik | CVE-2023-39206 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 3.7 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L
Açıklama: Bazı Zoom istemcilerindeki arabellek taşması, kimliği doğrulanmamış bir kullanıcının ağ erişimi yoluyla bir hizmeti reddedebilmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir. |
|||||
|
ZSB-23049 | 11/14/2023 | Zoom İstemcileri - Uygunsuz Koşul Denetimi | Kritik | CVE-2023-39205 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 4.3 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Açıklama: Zoom istemcileri için Zoom Team Chat'te uygunsuz koşul denetimi, kimliği doğrulanmış bir kullanıcının ağ erişimi yoluyla bir hizmeti reddedebilmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir. |
|||||
|
ZSB-23048 | 11/14/2023 | Zoom İstemcileri - Arabellek Taşması | Kritik | CVE-2023-39204 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 4.3 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L
Açıklama: Bazı Zoom istemcilerindeki arabellek taşması, kimliği doğrulanmamış bir kullanıcının ağ erişimi yoluyla bir hizmeti reddedebilmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir. |
|||||
|
ZSB-23047 | 11/14/2023 | Windows için Zoom Masaüstü İstemcisi ve Zoom VDI İstemcisi - Kontrolsüz Kaynak Tüketimi | Kritik | CVE-2023-39203 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 4.3 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L
Açıklama: Zoom Team Chat'te Windows için Zoom Masaüstü İstemcisi ve Zoom VDI İstemcisi ile ilgili kontrolsüz kaynak tüketimi, kimliği doğrulanmış bir kullanıcının ağ erişimi yoluyla bilgileri ifşa etmesine yol açabilir. Etkilenen Ürünler:
Kaynak: Shmoul tarafından bildirilmiştir. |
|||||
|
ZSB-23046 | 11/14/2023 | Windows İçin Zoom Rooms Cihazları ve Zoom VDI İstemcisi - Güvenilir Olmayan Arama Yolu | Kritik | CVE-2023-39202 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 3.1 CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:L
Açıklama: Windows için Zoom Rooms Cihazları ve Zoom VDI İstemcisinde güvenilir olmayan arama yolu, ayrıcalıklı bir kullanıcının yerel erişim yoluyla bir hizmeti reddedebilmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: sim0nsecurity tarafından bildirildi. |
|||||
|
ZSB-23045 | 09/12/2023 | CleanZoom - Güvenilir Olmayan Arama Yolu | Kritik | CVE-2023-39201 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.2 CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
Açıklama: 24/07/2023 dosya tarihi öncesinde CleanZoom'da güvenilir olmayan bir arama yolu, ayrıcalıklı bir kullanıcının yerel erişim yoluyla ayrıcalık yükseltme gerçekleştirebilmesine yol açabilir. Etkilenen Ürünler:
Kaynak: sim0nsecurity tarafından bildirildi. |
|||||
|
ZSB-23043 | 09/12/2023 | Linux için Zoom Masaüstü İstemcisi - Uygunsuz Giriş Doğrulaması | Kritik | CVE-2023-39208 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 6.5 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
Açıklama: 5.15.10 sürümünden önceki Linux için Zoom Masaüstü İstemcisi'ndeki uygunsuz giriş doğrulaması, kimliği doğrulanmamış bir kullanıcının ağ erişimi yoluyla bir hizmeti reddedebilmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: Antoine Roly (aroly) tarafından bildirilmiştir. |
|||||
|
ZSB-23040 | 09/12/2023 | Zoom İstemcileri - Uygunsuz Kimlik Doğrulaması | Kritik | CVE-2023-39215 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.1 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:H
Açıklama: Bazı Zoom istemcilerindeki uygunsuz kimlik doğrulaması, kimliği doğrulanmamış bir kullanıcının ağ erişimi yoluyla bir hizmeti reddedebilmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir. |
|||||
|
ZSB-23041 | 08/08/2023 | Windows İçin Zoom Masaüstü İstemcisi - Uygunsuz Giriş Doğrulaması | Kritik | CVE-2023-39209 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 5.9 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L
Açıklama: 5.15.5 sürümünden önceki Windows için Zoom Masaüstü İstemcisi'ndeki uygunsuz giriş doğrulaması, kimliği doğrulanmış bir kullanıcının ağ erişimi yoluyla veri ifşasını etkinleştirmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir. |
|||||
|
ZSB-23039 | 08/08/2023 | Zoom İstemcileri - Hassas Bilgilerin Açığa Çıkması | Kritik | CVE-2023-39214 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.6 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H
Açıklama: 5.15.5 sürümünden önceki Zoom İstemcilerindeki hassas bilgilerin açığa çıkması, kimliği doğrulanmış bir kullanıcının ağ erişimi yoluyla bir hizmeti reddedebilmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir. |
|||||
|
ZSB-23038 | 08/08/2023 | Windows İçin Zoom Masaüstü İstemcisi ve Zoom VDI İstemcisi - Özel Bileşenlerin Uygunsuz Etkisizleştirilmesi | Kritik | CVE-2023-39213 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 9.6 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Açıklama: Windows için Zoom Masaüstü İstemcisi ve Zoom VDI İstemcisi'nde özel bileşenlerin uygunsuz etkisizleştirilmesi, kimliği doğrulanmamış bir kullanıcının ağ erişimi yoluyla ayrıcalıkları yükseltebilmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir. |
|||||
|
ZSB-23037 | 08/08/2023 | Windows İçin Zoom Rooms - Güvenilir Olmayan Arama Yolu | Kritik | CVE-2023-39212 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.9 CVSS Vektör Dizesi: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H
Açıklama: 5.15.5 sürümünden önceki Windows için Zoom Rooms'taki güvenilir olmayan arama yolu, kimliği doğrulanmamış bir kullanıcının yerel erişim yoluyla bir hizmeti reddedebilmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: sim0nsecurity tarafından bildirildi. |
|||||
|
ZSB-23036 | 08/08/2023 | Windows İçin Zoom Masaüstü İstemcisi ve Windows İçin Zoom Rooms - Uygunsuz Ayrıcalık Yönetimi | Kritik | CVE-2023-39211 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.8 CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Açıklama: 5.15.5 sürümünden önceki Windows için Zoom Masaüstü İstemcisi ve Windows için Zoom Rooms'taki uygunsuz ayrıcalık yönetimi, kimliği doğrulanmış bir kullanıcının yerel erişim yoluyla veri ifşasını etkinleştirmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: sim0nsecurity tarafından bildirildi. |
|||||
|
ZSB-23035 | 08/08/2023 | Windows İçin Zoom İstemci SDK'sı - Hassas Bilgilerin Açık Metin Olarak Saklanması | Kritik | CVE-2023-39210 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 5.5 CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Açıklama: 5.15.0 sürümünden önceki Windows için Zoom İstemci SDK'sındaki hassas bilgilerin açık metin olarak saklanması, kimliği doğrulanmış bir kullanıcının yerel erişim yoluyla veri ifşasını etkinleştirmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: sim0nsecurity tarafından bildirildi. |
|||||
|
ZSB-23034 | 08/08/2023 | Zoom İstemcileri - Sunucu Tarafındaki Güvenliğin İstemci Tarafından Zorlanması | Kritik | CVE-2023-39218 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 6.5 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
Açıklama: 5.14.10 sürümünden önceki Zoom istemcilerinde sunucu tarafındaki güvenliğin istemci tarafından zorlanması, ayrıcalıklı bir kullanıcının yerel erişim yoluyla veri ifşasını etkinleştirmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir. |
|||||
|
ZSB-23033 | 08/08/2023 | Zoom İstemcileri - Uygunsuz Giriş Doğrulaması | Kritik | CVE-2023-39217 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 5.3 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Açıklama: 5.14.10 sürümünden önceki Zoom İstemcilerindeki uygunsuz giriş doğrulaması, kimliği doğrulanmamış bir kullanıcının ağ erişimi yoluyla bir hizmeti reddedebilmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir. |
|||||
|
ZSB-23032 | 08/08/2023 | Windows İçin Zoom Masaüstü İstemcisi - Uygunsuz Giriş Doğrulaması | Kritik | CVE-2023-39216 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 9.6 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Açıklama: 5.14.7 sürümünden önceki Windows için Zoom Masaüstü İstemcisi'ndeki uygunsuz giriş doğrulaması, kimliği doğrulanmamış bir kullanıcının ağ erişimi yoluyla ayrıcalıkları yükseltebilmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir. |
|||||
|
ZSB-23031 | 08/08/2023 | Zoom İstemcileri - Sunucu Tarafındaki Güvenliğin İstemci Tarafından Zorlanması | Kritik | CVE-2023-36535 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.1 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L
Açıklama: 5.14.10 sürümünden önceki Zoom istemcilerinde sunucu tarafındaki güvenliğin istemci tarafından zorlanması, kimliği doğrulanmış bir kullanıcının yerel erişim yoluyla veri ifşasını etkinleştirmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir. |
|||||
|
ZSB-23030 | 08/08/2023 | Windows İçin Zoom Masaüstü İstemcisi - Yol Ağ Geçişi | Kritik | CVE-2023-36534 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 9.3 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H
Açıklama: 5.14.7 sürümünden önceki Windows için Zoom Masaüstü İstemcisi'ndeki yol ağ geçişi, kimliği doğrulanmamış bir kullanıcının ağ erişimi yoluyla ayrıcalıkları yükseltebilmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir. |
|||||
|
ZSB-23029 | 08/08/2023 | Zoom SDK’ları - Kontrol Edilmeyen Kaynak Tüketimi | Kritik | CVE-2023-36533 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.1 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H
Açıklama: 5.14.7 sürümünden önceki Zoom SDK'larındaki kontrol edilmeyen kaynak tüketimi, kimliği doğrulanmamış bir kullanıcının ağ erişimi yoluyla bir hizmeti reddedebilmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir. |
|||||
|
ZSB-23028 | 08/08/2023 | Zoom İstemcileri - Arabellek Taşması | Kritik | CVE-2023-36532 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 5.9 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Açıklama: 5.14.5 sürümünden önceki Zoom istemcilerindeki arabellek taşması, kimliği doğrulanmamış bir kullanıcının ağ erişimi yoluyla bir hizmeti reddedebilmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir. |
|||||
|
ZSB-23027 | 08/08/2023 | Windows İçin Zoom Masaüstü İstemcisi - Veri Orijinalliği Doğrulamasının Yetersizliği | Kritik | CVE-2023-36541 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Açıklama: 5.14.5 öncesindeki Windows İçin Zoom Masaüstü İstemcisindeki veri orijinalliği doğrulamasının yetersiz olması, kimliği doğrulanmış bir kullanıcının ağ erişimi üzerinden başkalarına ayrıcalık atamasına yol açabilir. Etkilenen Ürünler:
Kaynak: sim0nsecurity tarafından bildirildi. |
|||||
|
ZSB-23026 | 08/08/2023 | Windows İçin Zoom Masaüstü İstemcisi - Güvenilir Olmayan Arama Yolu | Kritik | CVE-2023-36540 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.3 CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L
Açıklama: 5.14.5 sürümünden önceki Windows için Zoom Masaüstü İstemcisi yükleme aracındaki güvenilir olmayan arama yolu, kimliği doğrulanmamış bir kullanıcının yerel erişim yoluyla ayrıcalıkları yükseltmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: sim0nsecurity tarafından bildirildi. |
|||||
|
ZSB-23024 | 07/11/2023 | Uygunsuz Erişim Denetimi | Kritik | CVE-2023-36538 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.4 CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H
Açıklama: 5.15.0 sürümünden önceki Windows için Zoom Rooms'ta uygunsuz erişim denetimi, kimliği doğrulanmamış bir kullanıcının yerel erişim yoluyla ayrıcalıkları yükseltmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: sim0nsecurity tarafından bildirildi. |
|||||
|
ZSB-23023 | 07/11/2023 | Uygunsuz Ayrıcalık Yönetimi | Kritik | CVE-2023-36537 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.3 CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L
Açıklama: 5.14.5 sürümünden önceki Windows için Zoom Rooms'ta uygunsuz ayrıcalık yönetimi, kimliği doğrulanmamış bir kullanıcının yerel erişim yoluyla ayrıcalıkları yükseltmesine olanak tanıyabilir. Etkilenen Ürünler:
Kaynak: sim0nsecurity tarafından bildirildi |
|||||
|
ZSB-22033 | 01/06/2023 | Zoom for Android İstemcilerinde Yol Geçişi | Kritik | CVE-2022-36928 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 6.1 CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
Açıklama: Sürüm 5.13.0 öncesindeki Zoom for Android istemcileri bir yol geçişi güvenlik açığı içeriyor. Bir üçüncü taraf uygulaması bu güvenlik açığını istismar ederek Zoom uygulama verileri dizinini okuyabilir ve bu dizine yazabilir. Etkilenen Ürünler:
Kaynak: Microsoft'tan Dimitrios Valsamaras tarafından bildirilmiştir |
|||||
|
ZSB-22032 | 01/06/2023 | macOS İstemcileri için Zoom Rooms'ta Yerel Ayrıcalık Yükseltme | Kritik |
CVE-2022-36926 CVE-2022-36927 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.8 CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Açıklama: Sürüm 5.11.3 öncesindeki Zoom Rooms for macOS istemcileri bir yerel ayrıcalık yükseltme güvenlik açığı içeriyor. Düşük yetkiye sahip bir yerel kullanıcı, bu güvenlik açığından yararlanarak ayrıcalıklarını kök hâline getirebilir. Etkilenen Ürünler:
Kaynak: Kirin (Pwnrin) tarafından bildirilmiştir |
|||||
|
ZSB-22031 | 01/06/2023 | macOS İstemcileri için Zoom Rooms için güvensiz anahtar oluşturma | Kritik | CVE-2022-36925 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 4.4 CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
Açıklama: Sürüm 5.11.4 öncesindeki Zoom Rooms for macOS istemcileri bir güvensiz anahtar oluşturma mekanizması içeriyor. Zoom Rooms hayalet hizmeti ile Zoom Rooms istemcisi arasındaki IPC için kullanılan şifreleme anahtarı, yerel bir düşük ayrıcalıklı uygulama tarafından alınabilen parametreler kullanılarak oluşturuluyordu. Bu anahtar daha sonra ayrıcalıklı işlevlerin çalıştırılması ve yerel bir hizmet reddine yol açmak amacıyla hayalet hizmetiyle etkileşim için kullanılabiliyor. Etkilenen Ürünler:
Kaynak: Kirin (Pwnrin) tarafından bildirilmiştir |
|||||
|
ZSB-22030 | 11/15/2022 | Windows için Zoom Rooms Yükleyicisinde Yerel Ayrıcalık Yükseltmesi | Kritik | CVE-2022-36924 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.8 CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Açıklama: 5.12.6'dan önceki Windows için Zoom Rooms Yükleyicisi, yerel bir ayrıcalık yükseltme güvenlik açığı içeriyor. Düşük ayrıcalığa sahip yerel bir kullanıcı, ayrıcalıklarını SİSTEM kullanıcısına yükseltmek için yükleme işlemi sırasında bu güvenlik açığından yararlanabilir. Etkilenen Ürünler:
Kaynak: sim0nsecurity tarafından bildirildi |
|||||
|
ZSB-22029 | 11/15/2022 | macOS için Zoom Client Yükleyicisinde Yerel Ayrıcalık Yükseltme | Kritik | CVE-2022-28768 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.8 CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Açıklama: 5.12.6 sürümünden önceki macOS için Zoom Client for Meetings (Standart ve BT Yöneticisi için) yerel bir ayrıcalık yükseltme güvenlik açığı içeriyor. Düşük ayrıcalığa sahip bir yerel kullanıcı, ayrıcalıklarını köklendirmek için bu güvenlik açığından yararlanabilir. Etkilenen Ürünler:
Kaynak: Koh M. Nakagawa (tsunekoh) tarafından bildirildi |
|||||
|
ZSB-22027 | 11/15/2022 | Zoom Windows İstemcilerinde DLL enjeksiyonu | Kritik | CVE-2022-28766 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.1 CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L
Açıklama: Zoom Client for Meetings'in 5.12.6'dan önceki Windows 32-bit sürümleri ve 5.12.6 sürümünden önceki Konferans Odası için Zoom Rooms sürümleri, DLL enjeksiyonu güvenlik açığına maruz kalabilir. Düşük ayrıcalığa sahip bir yerel kullanıcı, Zoom istemcisi bağlamında rastgele kod çalıştırmak için bu güvenlik açığından yararlanabilir. Etkilenen Ürünler:
Kaynak: sim0nsecurity tarafından bildirildi |
|||||
|
ZSB-22025 | 11/10/2022 | Zoom İstemcilerinde yerel bilgi teşhiri | Kritik | CVE-2022-28764 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 3.3 CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Açıklama: 5.12.6 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri, yerel bilgi teşhiri güvenlik açığına maruz kalabilir. Etkilenen Ürünler:
Kaynak: SySS GmbH'den Christian Zäske tarafından bildirildi |
|||||
|
ZSB-22024 | 10/24/2022 | Zoom İstemcilerinde uygun olmayan URL ayrıştırma | Kritik | CVE-2022-28763 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.8 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Açıklama: 5.12.2 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri, URL ayrıştırma güvenlik açığına maruz kalabilir. Kötü amaçlı bir Zoom toplantı URL'si açılırsa kötü amaçlı bağlantı, kullanıcıyı rastgele bir ağ adresine bağlanmaya yönlendirebilir ve bu da oturumların ele geçirilmesi de dahil olmak üzere ek saldırılara yol açabilir. Etkilenen Ürünler:
Kaynak: Zoom Güvenlik Ekibi tarafından bildirilmiştir |
|||||
|
ZSB-22023 | 10/11/2022 | macOS için Zoom Client for Meetings'te Zoom Apps'in sorun giderme bağlantı noktasında yanlış yapılandırma | Kritik | CVE-2022-28762 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.3 CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
Açıklama: 5.10.6 sürümünden başlayarak 5.12.0 sürümünden önce macOS için (Standart ve BT Yöneticisi için) Zoom Client for Meetings'te, sorun giderme bağlantı noktası yanlış yapılandırması var. Belli Zoom Apps uygulamalarını çalıştırarak Zoom Uygulama Katmanları API'sinin parçası olarak kamera modu işleme bağlamı etkinleştirildiğinde, Zoom istemcisi tarafından yerel bir hata ayıklama bağlantı noktası açılır. Kötü niyetli yerel bir kullanıcı, bu sorun giderme bağlantı noktasını kullanarak Zoom istemcisinde çalışan Zoom Apps'e bağlanıp bunu kontrol edebilir. Etkilenen Ürünler:
Kaynak: Zoom Güvenlik Ekibi tarafından bildirilmiştir |
|||||
|
ZSB-22022 | 10/11/2022 | Zoom Şirket İçi Dağıtımlar: Hatalı Erişim Kontrolü | Kritik | CVE-2022-28761 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 6.5 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Açıklama: 4.8.20220916.131 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümlerinde hatalı erişim kontrolü güvenlik açığı bulunuyor. Sonuç olarak, bir toplantıda veya web seminerinde katılma yetkisi verilmiş zararlı bir aktör, katılımcıların ses ve videoyu almasını önleyip toplantıda sorunlara sebep olabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir |
|||||
|
ZSB-22021 | 09/13/2022 | Zoom Şirket İçi Dağıtımlar: Hatalı Erişim Kontrolü | Kritik | CVE-2022-28760 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 6.5 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Açıklama: 4.8.20220815.130 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümlerinde hatalı erişim kontrolü güvenlik açığı bulunuyor. Bu nedenle, zararlı bir aktör, katılma yetkisine sahip olduğu bir toplantıya diğer katılımcılara görünmeden katılabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir |
|||||
|
ZSB-22020 | 09/13/2022 | Zoom Şirket İçi Dağıtımlar: Hatalı Erişim Kontrolü | Kritik |
CVE-2022-28758 CVE-2022-28759 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.2 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Açıklama: 4.8.20220815.130 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümlerinde hatalı erişim kontrolü güvenlik açığı bulunuyor. Sonuç olarak, zararlı bir aktör, katılma yetkisine sahip olmadığı bir toplantının ses ve video akışını elde edip toplantıda farklı sorunlara sebep olabilir. Etkilenen Ürünler:
Kaynak: Zoom Güvenlik Ekibi tarafından bildirilmiştir |
|||||
|
ZSB-22019 | 08/17/2022 | macOS Zoom Client for Meetings İçin Ses Güncelleyicisinde Yerel Ayrıcalık Yükseltme | Kritik | CVE-2022-28757 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.8 CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Açıklama: 5.7.3 (dahil) ile 5.11.6 (hariç) arası sürüme sahip macOS Zoom Client for Meetings'te (Standart ve BT Yöneticisi için), ses güncelleme işleminde bir güvenlik açığı bulunuyor. Düşük yetkiye sahip bir yerel kullanıcı, bu güvenlik açığından yararlanarak ayrıcalıklarını kök hâline getirebilir. Etkilenen Ürünler:
Kaynak: Saldırı Güvenlik Ekibinden Csaba Fitzl (theevilbit) tarafından bildirilmiştir |
|||||
|
ZSB-22018 | 08/13/2022 | macOS Zoom ürünleri için Otomatik Güncelleyicide Yerel Ayrıcalık Yükseltme [Updated 2022-09-13] | Kritik | CVE-2022-28756 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.8 CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Açıklama: 5.7.3 (dahil) ile 5.11.5 (hariç) sürüme sahip macOS Zoom Client for Meetings'te (Standart ve BT Yöneticisi için) ve 5.11.6'dan eski sürüme sahip macOS Konferans Odası için Zoom Rooms'ta ses güncelleme işleminde bir güvenlik açığı bulunuyor. Düşük yetkiye sahip bir yerel kullanıcı, bu güvenlik açığından yararlanarak ayrıcalıklarını kök hâline getirebilir. Etkilenen Ürünler:
Kaynak: Objective-See'den Patrick Wardle tarafından bildirildi |
|||||
|
ZSB-22017 | 08/09/2022 | macOS Zoom Client for Meetings'te Yerel Ayrıcalık Yükseltme | Kritik | CVE-2022-28751 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.8 CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Açıklama: 5.11.3 öncesi macOS Zoom Client for Meetings (Standart ve BT yöneticisi için) sürümlerinde güncelleme işlemi sırasında paket imza doğrulamada güvenlik açığı bulunuyor. Düşük yetkiye sahip bir yerel kullanıcı, bu güvenlik açığından yararlanarak ayrıcalıklarını kök hâline getirebilir. Etkilenen Ürünler:
Kaynak: Objective-See'den Patrick Wardle tarafından bildirildi |
|||||
|
ZSB-22014 | 08/09/2022 | Zoom Şirket İçi Dağıtımlar: Hatalı Erişim Kontrolü | Kritik |
CVE-2022-28753 CVE-2022-28754 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.1 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N
Açıklama: 4.8.129.20220714 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümlerinde hatalı erişim kontrolü güvenlik açığı bulunuyor. Bu nedenle zararlı bir aktör, katılma yetkisine sahip olduğu bir toplantıya diğer katılımcılara görünmeden katılabilir, bekleme odasından kendisini toplantıya kabul edebilir, toplantı sahibi olabilir ve diğer toplantı sorunlarına sebep olabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir |
|||||
|
ZSB-22016 | 08/09/2022 | Zoom İstemcilerinde uygun olmayan URL ayrıştırma [Updated 2022-10-24] | Kritik | CVE-2022-28755 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 9.6 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Açıklama: 5.11.0 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri, URL ayrıştırma güvenlik açığına maruz kalabilir. Kötü niyetli bir Zoom toplantı URL'si açıldığında, bu kötü amaçlı bağlantı kullanıcının rastgele bir ağ adresine bağlanmasına sebep olup bu rastgele yoldan gelen yürütülebilir dosyaları başlatarak olası bir uzaktan kod yürütme dahil diğer saldırılara sebep olabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir |
|||||
|
ZSB-22012 | 08/09/2022 | Zoom Şirket İçi Dağıtımları: Toplantı Bağlayıcısında Yığın Arabelleği Taşması | Kritik | CVE-2022-28750 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.5 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Açıklama: 4.8.20220419.112 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı Bölge Kontrolörü (ZC) sürümleri, STUN hata kodlarını doğru bir şekilde ayrıştıramıyor. Bu durum bellek bozulmasına ve zararlı bir aktörün uygulamayı çökertmesine sebep olabiliyor. 4.8.12.20211115 öncesi sürümlerde bu güvenlik açığı ayrıca rastgele kod yürütecek şekilde kullanılabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir |
|||||
|
ZSB-22011 | 06/14/2022 | Toplantıya Katılım Sırasında Yetersiz Yetki Kontrolü | Kritik | CVE-2022-28749 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 6.5 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Açıklama: 4.8.113.20220526 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümleri, bir Zoom toplantısına katılanların izinlerini düzgün bir şekilde kontrol edemiyor. Bunun sonucunda, Zoom'un bekleme odasında tehdit arz eden bir aktörün, oturum sahibinin onayı olmadan toplantıya katılması söz konusu olabilir. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir |
|||||
|
ZSB- 22010 | 06/14/2022 | Zoom ve Zoom Rooms Clients için Zoom Opener yükleme aracında DLL enjeksiyonu | Kritik | CVE-2022-22788 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.1 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
Açıklama: Zoom Opener yükleme aracı, Zoom Meeting Client yüklememiş olan ve bir toplantıya katılmaya çalışan bir kullanıcı tarafından "Launch Meeting" ("Toplantıyı Başlat") sayfasından indirilir. 5.10.3 öncesi Zoom Client for Meetings sürümü için ve 5.10.3 öncesi Windows için Zoom Rooms for Conference Room sürümü için Zoom Opener yükleme aracında DLL enjeksiyonu saldırısı görülebilir. Bu güvenlik açığı, kurbanın ana bilgisayarında rastgele kod yürütmek üzere kullanılabilir. Etkilenen Ürünler:
Kaynak: James Tsz Ko Yeung tarafından bildirilmiştir |
|||||
|
ZSB-22009 | 05/17/2022 | Zoom Client for Meetings sunucu değişimi sırasında yetersiz ana bilgisayar adı doğrulaması | Kritik | CVE-2022-22787 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 5.9 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L
Açıklama: 5.10.0 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri, sunucu değiştirme isteği sırasında ana bilgisayar adını düzgün bir şekilde doğrulayamamaktadır. Bu sorun, durumdan haberi olmayan bir kullanıcıyı Zoom hizmetlerini kullanmaya çalışırken istemcisini kötü amaçlı bir sunucuya bağlaması için kandırmayı amaçlayan daha karmaşık bir saldırıda kullanılabilir. Etkilenen Ürünler:
Kaynak: Google Project Zero'dan Ivan Fratric tarafından bildirilmiştir |
|||||
|
ZSB-22008 | 05/17/2022 | Windows için Zoom Client for Meetings'de güncelleme paketi düşürme | Kritik | CVE-2022-22786 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.5 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Açıklama: 5.10.0 öncesi Windows için Zoom Client for Meetings sürümleri ve 5.10.0 öncesi Windows için Zoom Rooms for Conference Rooms sürümleri, güncelleştirme işlemi sırasında yükleme sürümünü düzgün bir şekilde denetleyememektedir. Bu sorun, bir kullanıcıyı Zoom istemcisini daha az güvenli bir sürüme düşürmesi için kandırmayı amaçlayan daha karmaşık bir saldırıda kullanılabilir. Etkilenen Ürünler:
Kaynak: Google Project Zero'dan Ivan Fratric tarafından bildirilmiştir |
|||||
|
ZSB-22007 | 05/17/2022 | Zoom Clients for Meetings'de uygun olmayan şekilde kısıtlanmış oturum çerezleri | Kritik | CVE-2022-22785 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 5.9 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L
Açıklama: 5.10.0 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri, oturum çerezlerini Zoom etki alanlarıyla düzgün şekilde kısıtlayamamaktadır. Bu sorun, bir kullanıcının Zoom kapsamlı oturum çerezlerini Zoom dışındaki bir etki alanına göndermeyi amaçlayan daha karmaşık bir saldırıda kullanılabilir. Bu durum, bir Zoom kullanıcısının dolandırılmasıyla sonuçlanabilir. Etkilenen Ürünler:
Kaynak: Google Project Zero'dan Ivan Fratric tarafından bildirilmiştir |
|||||
|
ZSB- 22006 | 05/17/2022 | Zoom Client for Meetings'te Uygun Olmayan XML Ayrıştırma | Kritik | CVE-2022-22784 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.1 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Açıklama: 5.10.0 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri, XMPP iletilerindeki XML stanzalarını düzgün şekilde ayıramamaktadır. Bu durum, kötü niyetli bir kullanıcının mevcut XMPP iletisini bağlamından ayırmasına ve alıcı kullanıcının çeşitli eylemler gerçekleştirmesini sağlamak için yeni bir ileti bağlamı oluşturmasına imkân verebilir. Bu durum, sunucudaki XMPP iletilerinin sahtesini oluşturmayı amaçlayan daha karmaşık bir saldırıda kullanılabilir. Etkilenen Ürünler:
Kaynak: Google Project Zero'dan Ivan Fratric tarafından bildirilmiştir |
|||||
|
ZSB- 22005 | 04/27/2022 | Zoom şirket içi Toplantı hizmetlerinde işlemci belleği ifşası | Kritik | CVE-2022-22783 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.3 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/CR:H
Açıklama: Zoom Şirket İçi Toplantı Bağlayıcısı Controller'ı sürüm 4.8.102.20220310 ve Şirket İçi Toplantı Bağlayıcısı MMR sürüm 4.8.102.20220310'da bulunan bir güvenlik açığı, işlemci belleği parçalarını bağlı istemcilere ifşa ediyor ve pasif durumdaki saldırganlar tarafından fark edilebilir hale getiriyor. Etkilenen Ürünler:
Kaynak: Zoom Saldırı Güvenlik Ekibi |
|||||
|
ZSB-22004 | 04/27/2022 | Windows Zoom İstemcilerinde yerel ayrıcalık yükseltme | Kritik | CVE-2022-22782 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.9 CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H
Açıklama: 5.9.7 sürümünden önceki Windows için Zoom Clients for Meetings, 5.10.0 sürümünden önceki Windows için Zoom Rooms for Conference Room, 5.10.3 sürümünden önceki Windows için Microsoft Outlook için Zoom Eklentileri ve 5.9.6 sürümünden önceki Zoom VDI Windows Meeting İstemcileri; yükleyicinin onarım işlemi sırasında yerel bir ayrıcalık yükseltme sorunundan kolayca etkilenebiliyordu. Zararlı bir aktör bunu sistem düzeyindeki dosyaları veya klasörleri silmek için kullanabilir ve kullanıcının ana makinesinde bütünlük veya kullanılabilirlik sorunlarına neden olabilir. Etkilenen Ürünler:
Kaynak: Zero Day Initiative tarafından bildirildi |
|||||
|
ZSB-22003 | 04/27/2022 | macOS Zoom Client for Meetings'te güncelleme paketi düşürme | Kritik | CVE-2022-22781 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.5 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Açıklama: 5.9.6 öncesi macOS Zoom Client for Meetings (Standart ve BT yöneticisi için) sürümleri, güncelleme işlemi sırasında paket sürümünü düzgün şekilde kontrol edemiyordu. Bu durum, zararlı bir aktörün durumdan haberi olmayan bir kullanıcının mevcut yüklü sürümünü daha az güvenli bir sürüme güncellemesine sebebiyet verebilir. Etkilenen Ürünler:
Kaynak: Objective-See'den Patrick Wardle tarafından bildirildi |
|||||
|
ZSB-22002 | 02/08/2022 | Zoom Team Chat Zip Bombasından Kolayca Etkilenebiliyor | Kritik | CVE-2022-22780 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 4.7 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L
Açıklama: Zoom Client for Meetings'in sohbet işlevi, şu ürün sürümlerinde Zip bombası saldırılarından kolayca etkilenebiliyordu: 5.8.6 öncesi Android sürümleri, 5.9.0 öncesi iOS sürümleri, 5.8.6 öncesi Linux sürümleri, 5.7.3 öncesi macOS sürümleri ve 5.6.3 öncesi Windows sürümleri. Bu durum, sistem kaynaklarını tüketerek istemci ana bilgisayarında kullanılabilirlik sorunlarına neden olabiliyordu. Etkilenen Ürünler:
Kaynak: Walmart Global Tech'ten Johnny Yu tarafından bildirilmiştir |
|||||
|
ZSB-22001 | 02/08/2022 | macOS ve Windows için Keybase istemcilerinde saklanan ayrıntı dökümlü mesajlar | Kritik | CVE-2022-22779 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 3.7 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Açıklama: 5.9.0 öncesi macOS ve Windows için Keybase İstemcileri sürümlerinde, bir kullanıcı tarafından başlatılan ayrıntı dökümlü mesajlar düzgün bir şekilde kaldırılamıyor. Bu durum, mesajı alan kullanıcının sohbet olmayan bir özelliğe geçmesi ve gönderen kullanıcının mesaja ait ayrıntı dökümlerini almadan önce ana bilgisayarı uyku durumuna geçirmesi halinde oluşabiliyor. Bu durum, kullanıcının dosya sisteminden silinmesi amaçlanan hassas bilgilerin ifşa olmasına neden olabilir. Etkilenen Ürünler:
Kaynak: Olivia O'Hara tarafından bildirildi |
|||||
|
ZSB-21022 | 12/14/2021 | Windows için Keybase İstemcisi'nde rastgele komut yürütme | Kritik | CVE-2021-34426 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 5.3 CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
Açıklama: Windows için Keybase İstemcisi 5.6.0 öncesindeki sürümlerde, kullanıcılar komut satırında "keybase git lfs-config" komutunu yürüttüğünde bir güvenlik açığı oluştuğu keşfedilmiştir. 5.6.0 öncesi sürümlerde, bir kullanıcının Git deposuna yazma erişimi olan kötü niyetli aktörlerin bu güvenlik açığından faydalanarak kullanıcıların yerel sisteminde rastgele Windows komutları yürütmesi söz konusu olabilir. Etkilenen Ürünler:
Kaynak: RyotaK tarafından bildirildi |
|||||
|
ZSB-21021 | 12/14/2021 | Zoom Client for Meetings'de Sunucu Tarafı İstek Sahtekârlığı | Kritik | CVE-2021-34425 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 4.7 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N
Açıklama: 5.7.3 öncesi Zoom Client for Meetings sürümlerinde (Android, iOS, Linux, macOS ve Windows için), sohbet içindeki "bağlantı önizlemesi" fonksiyonunda sunucu tarafı istek sahtekârlığına karşı bir güvenlik açığı mevcuttur. 5.7.3 öncesi sürümlerde; sohbetteki "bağlantı önizlemesi" özelliğini etkinleştiren bir kullanıcının kötü niyetli bir aktör tarafından kandırılması ve aktörün doğrudan ulaşamayacağı URL'lere rastgele HTTP GET istekleri göndermesi söz konusu olabilir. Etkilenen Ürünler:
Kaynak: Walmart Global Tech'ten Johnny Yu tarafından bildirilmiştir |
|||||
|
ZSB-21020 | 11/24/2021 | Zoom Client'ta ve diğer ürünlerde işleme belleği ifşası | Kritik | CVE-2021-34424 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 5.3 CVSS Vektör Dizesi: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Açıklama: Bu bültenin "Etkilenen Ürünler" bölümünde listelenen ürünlerde, işlem belleği durumunun ifşa olmasına yol açabilecek bir güvenlik açığı keşfedilmiştir. Bu açıktan faydalananlar, ürün belleğindeki rastgele alanlar hakkında bilgi edinebilir. Etkilenen Ürünler:
Kaynak: Google Project Zero'dan Natalie Silvanovich tarafından bildirilmiştir |
|||||
|
ZSB-21019 | 11/24/2021 | Zoom Client'ta ve diğer ürünlerde arabellek taşması | Kritik | CVE-2021-34423 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.3 CVSS Vektör Dizesi: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Açıklama: Bu bültenin "Etkilenen Ürünler" bölümünde listelenen ürünlerde, arabellek taşması ile ilgili bir güvenlik açığı keşfedilmiştir. Bu durum kötü niyetli bir aktörün hizmeti veya uygulamayı çökertmesine veya bu güvenlik açığından faydalanarak rastgele kod yürütmesine neden olabilir. Etkilenen Ürünler:
Kaynak: Kaynak: Google Project Zero'dan Natalie Silvanovich tarafından bildirilmiştir |
|||||
|
ZSB-21018 | 11/09/2021 | Windows için Keybase İstemcisi'nde dosya adları için yol geçişi | Kritik | CVE-2021-34422 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.2 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
Açıklama: 5.7.0 öncesi Windows için Keybase İstemcisi sürümlerinde, bir ekip klasörüne yüklenen dosya adının kontrol edilmesi sırasında oluşan bir yol geçişi güvenlik açığı mevcuttur. Kötü niyetli bir kullanıcı, özel hazırlanmış dosya adına sahip bir dosyayı paylaşımlı klasöre yükleyerek, kullanıcının aslında ana makinede yürütülmesi amaçlanmamış olan bir uygulamayı yürütmesine neden olabilir. Kötü niyetli kullanıcı bu sorunla birlikte Keybase istemcisinin ortak klasör paylaşım özelliğinden de faydalanarak uzaktan kod yürütme gerçekleştirebilir. Etkilenen Ürünler:
Kaynak: m4t35z tarafından bildirilmiştir |
|||||
|
ZSB-21017 | 11/09/2021 | Android ve iOS için Keybase istemcilerinde saklanan ayrıntı dökümlü mesajlar | Kritik | CVE-2021-34421 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 3.7 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Açıklama: Android için Keybase İstemcisi 5.8.0 ve iOS için Keybase İstemcisi 5.8.0 öncesi sürümlerde; gönderen kullanıcının mesaja ait ayrıntı dökümlerini alması sırasında mesajı alan kullanıcının sohbet oturumunu arka plana alması halinde, kullanıcı tarafından başlatılan ayrıntı dökümlü mesajlar düzgün şekilde kaldırılamıyor. Bu durum, müşterinin cihazından silinmesi amaçlanan hassas bilgilerin ifşa olmasına neden olabilir. Etkilenen Ürünler:
Kaynak: Olivia O'Hara, John Jackson, Jackson Henry ve Robert Willis tarafından bildirilmiştir |
|||||
|
ZSB-21016 | 11/09/2021 | Zoom Windows kurulumu yürütülebilir imza atlaması | Kritik | CVE-2021-34420 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 4.7 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N
Açıklama: Windows için Zoom Client for Meetings yükleyici 5.5.4 öncesi sürümlerinde .msi, .ps1 ve .bat uzantılı dosyaların imzaları düzgün şekilde doğrulanamıyor. Bu sorun, kötü niyetli bir aktörün müşterinin bilgisayarına kötü niyetli yazılım yüklemesine neden olabilir. Etkilenen Ürünler:
Kaynak: ManoMano'dan Laurent Delosieres tarafından bildirilmiştir |
|||||
|
ZSB-21015 | 11/09/2021 | Zoom Linux istemcisinde HTML enjeksiyonu | Kritik | CVE-2021-34419 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 3.7 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
Açıklama: Ubuntu Linux için Zoom Client for Meetings 5.1.0 öncesi sürümlerde, toplantı içinde ekran paylaşımı yapılırken bir kullanıcıya uzaktan kontrol isteği gönderildiğinde bir HTML enjeksiyonu hatası oluşuyor. Bu sorun, toplantı katılımcılarının sosyal mühendislik saldırıları için hedef alınmasına neden olabilir. Etkilenen Ürünler:
Kaynak: hackdefense'ten Danny de Weille ve Rick Verdoes tarafından bildirilmiştir |
|||||
|
ZSB-21014 | 11/09/2021 | Şirket içi web konsolunda kimlik doğrulama öncesi Boş işaretçi çökmesi | Kritik | CVE-2021-34418 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 4.0 CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L Açıklama: Bu bültenin "Etkilenen Ürünler" bölümünde listelenen ürünler için web konsolunun oturum açma hizmeti, kimlik doğrulama sırasında NULL (BOŞ) bayt gönderildiğini doğrulayamıyor. Bu, oturum açma hizmetinin çökmesine neden olabilir. Etkilenen Ürünler:
Kaynak: Jeremy Brown tarafından bildirilmiştir |
|||||
|
ZSB-21013 | 11/09/2021 | MMR'de web konsolu aracılığıyla kök ayrıcalıkları ile kimliği doğrulanmış uzaktan komut yürütme | Kritik | CVE-2021-34417 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.9 CVSS Vektör Dizesi: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N Açıklama: Bu bültenin "Etkilenen Ürünler" bölümünde listelenen ürünlerin web portalındaki ağ proxy sayfası, ağ proxy parolasını belirlemeye yönelik isteklerde gönderilen girdileri doğrulayamıyor. Bu sorun, bir web portalı yöneticisi tarafından uzaktan komut enjeksiyonu yapılabilmesine neden olabilir. Etkilenen Ürünler:
Kaynak: Jeremy Brown tarafından bildirilmiştir |
|||||
|
ZSB-21012 | 09/30/2021 | Web portalı aracılığıyla Şirket İçi İmajlara karşı Uzaktan Kod Yürütme | Kritik | CVE-2021-34416 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 5.5 CVSS Vektör Dizesi: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N Açıklama: 4.6.360.20210325 sürümü öncesi Zoom Şirket İçi Toplantı Bağlayıcısı, 4.6.360.20210325 sürümü öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR, 3.8.44.20210326 sürümü öncesi Zoom Şirket İçi Kayıt Bağlayıcısı, 4.4.6752.20210326 sürümü öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı ve 2.5.5495.20210326 sürümü öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı Yük Dengeleyici için ağ adresi yönetim ayarları web portalı, ağ yapılandırmasını güncelleme isteklerinde gönderilen girdileri doğrulayamıyor. Bu sorun, web portalı yöneticilerinin şirket içi imaja uzaktan komut enjeksiyonu yapabilmesine neden olabilir. Etkilenen Ürünler:
Kaynak: Positive Technologies'ten Egor Dimitrenko tarafından bildirilmiştir |
|||||
|
ZSB-21011 | 09/30/2021 | Birden çok tahsisin yapılmasına neden olan PDU kullanımlı ZC çökmesi | Kritik | CVE-2021-34415 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.5 CVSS Vektör Dizesi: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H Açıklama: 4.6.358.20210205 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı Kontrolörü sürümlerindeki Bölge Kontrolörü, gelen ağ paketlerinde gönderilen cnt alanını doğrulayamıyor ve bu da kaynakların tükenmesine ve sistemine çökmesine neden oluyor. Etkilenen Ürünler:
Kaynak: Positive Technologies'ten Nikita Abramov tarafından bildirilmiştir |
|||||
|
ZSB-21010 | 09/30/2021 | Web portalı ağ proxy yapılandırması aracılığıyla Toplantı Bağlayıcısı sunucusuna karşı Uzaktan Kod Yürütme | Kritik | CVE-2021-34414 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.2 CVSS Vektör Dizesi: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H Açıklama: 4.6.348.20201217 sürümü öncesi Zoom Şirket İçi Toplantı Bağlayıcısı Kontrolörü, 4.6.348.20201217 sürümü öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR, 3.8.42.20200905 sürümü öncesi Zoom Şirket İçi Kayıt Bağlayıcısı, 4.4.6620.20201110 sürümü öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı ve 2.5.5495.20210326 sürümü öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı Yük Dengeleyici için web portalındaki ağ proxy sayfası, ağ proxy yapılandırmasını güncelleme isteklerinde gönderilen girdileri doğrulayamıyor. Bu sorun, bir web portalı yöneticisinin şirket içi imaja uzaktan komut enjeksiyonu yapabilmesine neden olabilir. Etkilenen Ürünler:
Kaynak: Positive Technologies'ten Egor Dimitrenko tarafından bildirilmiştir |
|||||
|
ZSB-21009 | 09/30/2021 | Zoom macOS Outlook Eklenti Yükleyici Yerel Ayrıcalık Yükseltme | Kritik | CVE-2021-34413 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 2.8 CVSS Vektör Dizesi: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N Açıklama: 5.3.52553.0918 öncesi tüm macOS Microsoft Outlook Zoom Eklentisi sürümlerinde eklenti yükleme işlemi sırasında oluşan Kontrol zamanı/Kullanım zamanı (TOC/TOU) ilişkili bir güvenlik açığı bulunuyor. Bu sorun, standart bir kullanıcının eklenti dizinine kendi kötü amaçlı yazılımını yazabilmesine ve bu kötü amaçlı yazılımın ayrıcalıklı bağlamda yürütülebilmesine olanak verebilir. Etkilenen Ürünler:
Kaynak: Lockheed Martin Red Ekibi tarafından bildirilmiştir |
|||||
|
ZSB-21008 | 09/30/2021 | Zoom for Windows Yükleyici Yerel Ayrıcalık Yükseltme | Kritik | CVE-2021-34412 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 4.4 CVSS Vektör Dizesi: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Açıklama: 5.4.0 öncesi tüm Windows için Zoom Client for Meetings sürümlerinde yükleme işlemi yapılırken Internet Explorer'ın başlatılması mümkündür. Yükleyici, SCCM ile olana benzer yükseltilmiş ayrıcalıklarla başlatılmışsa bu durum yerel ayrıcalık yükseltmeye de neden olabilir. Etkilenen Ürünler:
Kaynak: Lockheed Martin Red Ekibi tarafından bildirilmiştir |
|||||
|
ZSB-21007 | 09/30/2021 | Zoom Rooms Yükleyici Yerel Ayrıcalık Yükseltme | Kritik | CVE-2021-34411 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 4.4 CVSS Vektör Dizesi: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Açıklama: 5.3.0 öncesi Windows için Zoom Rooms for Conference Room sürümleri için yükleme işlemi yapılırken Internet Explorer'ın yükseltilmiş ayrıcalıklar ile başlatılması mümkündür. Yükleyici, SCCM ile olana benzer yükseltilmiş ayrıcalıklarla başlatılmışsa bu durum yerel ayrıcalık yükseltmeye de neden olabilir. Etkilenen Ürünler:
Kaynak: Lockheed Martin Red Ekibi tarafından bildirilmiştir |
|||||
|
ZSB-21004 | 09/30/2021 | Zoom MSI Yükleyicide Bağlantı Kullanımı ile Yükseltilmiş Yazma | Kritik | CVE-2021-34408 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.0 CVSS Vektör Dizesi: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Açıklama: 5.3.2 öncesi Windows için Zoom Client for Meetings sürümlerinin yüklenmesi sırasında oluşturulan ve kullanıcının yazım yapabildiği dizin, bir bağlantı kullanılarak başka bir konuma yönlendirilebilir. Bu durum, güvenlik saldırısını yapan kişinin normalde sınırlı yetkilere sahip bir kullanıcı tarafından değiştirilemeyecek dosyalar üzerine yazabilmesine olanak sağlar. Etkilenen Ürünler:
Kaynak: Lockheed Martin Red Ekibi tarafından bildirilmiştir |
|||||
|
ZSB-21003 | 09/30/2021 | Windows Zoom Yükleyici Dijital İmza Atlama | Kritik | CVE-2021-33907 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.0 CVSS Vektör Dizesi: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H/MPR:N/MUI:R/MS:U/MC:H/MI:H/MA:H
Açıklama: 5.3.0 öncesi tüm Windows için Zoom Client for Meetings sürümlerinde, istemci güncellenirken .msi dosyalarının imzalanması için kullanılan sertifika bilgileri düzgün şekilde doğrulanamıyor. Bu sorun, yükseltilmiş bir ayrıcalıklı bağlamda uzaktan kod yürütülebilmesine olanak verir. Etkilenen Ürünler:
Kaynak: Lockheed Martin Red Ekibi tarafından bildirilmiştir |
|||||
|
ZSB-21002 | 08/13/2021 | XMPP mesajından statik arabellek işaretsiz yazımından yığın taşması | Kritik | CVE-2021-30480 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 8.1 CVSS Vektör Dizesi: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H
Açıklama: Zoom Client for Meetings 5.6.3 sürümünden önceki tüm masaüstü sürümlerinde yığın tabanlı arabellek taşması mevcuttur. Bu Bulgu, 2021 Pwn20wn Vancouver'ın bir parçası olarak Zoom'a bildirilmiştir. Pwn20wn sırasında gösterilen saldırı zinciri, 04/09/2021'de Zoom'un altyapısındaki sunucu tarafındaki bir değişiklikle hafifletilmiştir. Etkilenen Ürünler:
Kaynak: Computest'ten Daan Keuper ve Thijs Alkemade tarafından Zero Day Initiative aracılığıyla bildirildi |
|||||
|
ZSB-21001 | 03/26/2021 | Uygulama Penceresi Ekran Paylaşımı İşlevi | Kritik | CVE-2021-28133 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 5.7 CVSS Vektör Dizesi: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N
Açıklama: Bir güvenlik açığı, tek tek uygulama pencerelerini paylaşırken Zoom Windows ve Linux İstemcilerinin paylaşım ekranı çalışmasını etkiledi, bu açıkta "paylaşan kişi" başka bir pencereyi küçültüyorsa, büyütüyorsa veya kapatıyorsa, ekranı paylaşan kullanıcılar tarafından açıkça paylaşılmayan uygulamaların ekran içeriği diğer toplantı katılımcıları tarafından kısa bir süre için görülebiliyor. Etkilenen Ürünler:
Kaynak: Michael Stramez ve Matthias Deeg tarafından keşfedildi. |
|||||
|
ZSB-20002 | 08/14/2020 | Zoom Paylaşım Hizmeti'ndeki Windows DLL | Kritik | CVE-2020-9767 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: 7.8 CVSS Vektör Dizesi: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Açıklama: Zoom Paylaşım Hizmeti'ne yüklenen Dinamik Bağlantı Kitaplığı ("DLL") ile ilgili bir güvenlik açığı, yerel bir Windows kullanıcısının ayrıcalıkları NT AUTHORITY/SYSTEM kullanıcısının ayrıcalıklarına yükseltebilmesine olanak verebilmektedir. Etkilenen Ürünler:
Kaynak: Context Bilgi Güvenliği'nden Connor Scott |
|||||
|
ZSB-20001 | 05/04/2020 | Windows için Zoom BT Yükleyicisi | Kritik | CVE-2020-11443 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: Taban: 8.4 CVSS Vektör Dizesi: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H
Açıklama: Dosyaları silerken Zoom Windows yükleyicisinin birleşimleri işleme biçimindeki bir güvenlik açığı, yerel bir Windows kullanıcısının kullanıcı tarafından silinemez dosyaları silmesine izin verebilir. Etkilenen Ürünler:
Kaynak: Lockheed Martin Kırmızı Ekibi sayesinde. |
|||||
|
ZSB-19003 | 07/12/2019 | ZoomOpener hayalet programı | Kritik | CVE-2019-13567 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: Taban: 7.5 CVSS Vektör Dizesi: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Açıklama: Zoom macOS istemcilerindeki bir güvenlik açığı, saldırganın kurbanın cihazına kötü amaçlı yazılım indirmesine olanak sağlayabilir. Etkilenen Ürünler:
Kaynak: Bilinmiyor. |
|||||
|
ZSB-19002 | 07/09/2019 | Varsayılan Video Ayarı | Kritik | CVE-2019-13450 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: Taban: 3.1 CVSS Vektör Dizesi: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
Açıklama: macOS Zoom ve RingCentral istemcilerindeki bir güvenlik açığı, kimliği doğrulanmamış uzak bir saldırganın, kullanıcıyı video kamera etkinken görüntülü aramaya katılmaya zorlamasına izin verebilir. Etkilenen Ürünler:
Kaynak: Jonathan Leitschuh tarafından geliştirildi. |
|||||
|
ZSB-19001 | 07/09/2019 | Hizmet reddi saldırısı - macOS | Kritik | CVE-2019-13449 |
Önem Derecesi: Kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) Puanı: Taban: 3.1 CVSS Vektör Dizesi: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Açıklama: macOS Zoom istemcisindeki bir güvenlik açığı; uzak, kimlik doğrulaması olmayan bir saldırganın kurbanın sisteminde hizmet reddi koşulu tetiklemesine izin verebilir. Etkilenen Ürünler:
Kaynak: Jonathan Leitschuh tarafından geliştirildi. |
|||||
No results found |
Gelecekteki Zoom Güvenlik Bültenleri hakkında bildirim almak için lütfen bireysel e-posta adresinizi girin. (Not: E-posta takma isimleri bu bildirimleri almayacaktır.)