Trust Center Security, Privacy, Blogs Additional Resources

Güvenlik Bülteni

Log4j kütüphanesine yaklaşımımız hakkında daha fazla bilgi için lütfen Apache Log4j İfşalarıyla İlgili Zoom Güvenlik Bültenimizi ziyaret edin.

AYRINTILI BİLGİ
Severity All
  • Severity All
  • Critical
  • High
  • Medium
  • Low
CVE All
  • CVE All
  • CVE-2023-28597
  • CVE-2023-28596
  • CVE-2023-22883
  • CVE-2023-22881
    CVE-2023-22882
  • CVE-2023-22880
  • CVE-2022-36930
  • CVE-2022-36929
  • CVE-2022-36928
  • CVE-2022-36926
    CVE-2022-36927
  • CVE-2022-36925
  • CVE-2022-36924
  • CVE-2022-28768
  • CVE-2022-28766
  • CVE-2022-28764
  • CVE-2022-28763
  • CVE-2022-28762
  • CVE-2022-28761
  • CVE-2022-28760
  • CVE-2022-28758
    CVE-2022-28759
  • CVE-2022-28757
  • CVE-2022-28756
  • CVE-2022-28751
  • CVE-2022-28753
    CVE-2022-28754
  • CVE-2022-28755
  • CVE-2022-28752
  • CVE-2022-28750
  • CVE-2022-28749
  • CVE-2022-22788
  • CVE-2022-22787
  • CVE-2022-22786
  • CVE-2022-22785
  • CVE-2022-22784
  • CVE-2022-22783
  • CVE-2022-22782
  • CVE-2022-22781
  • CVE-2022-22780
  • CVE-2022-22779
  • CVE-2021-34426
  • CVE-2021-34425
  • CVE-2021-34424
  • CVE-2021-34423
  • CVE-2021-34422
  • CVE-2021-34421
  • CVE-2021-34420
  • CVE-2021-34419
  • CVE-2021-34418
  • CVE-2021-34417
  • CVE-2021-34416
  • CVE-2021-34415
  • CVE-2021-34414
  • CVE-2021-34413
  • CVE-2021-34412
  • CVE-2021-34411
  • CVE-2021-34408
  • CVE-2021-33907
  • CVE-2021-30480
  • CVE-2021-28133
  • CVE-2020-9767
  • CVE-2020-11443
  • CVE-2019-13567
  • CVE-2019-13450
  • CVE-2019-13449
Ara

Güvenlik Bülteni

ZSB Date Title Severity CVE (if applicable)
ZSB-23005 03/14/2023 Zoom İstemcilerinde SMB için uygun olmayan güven sınırı uygulaması High CVE-2023-28597

Severity: High

CVSS Score: 8.3

CVSS Vector String: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

Description: 5.13.5 öncesi Zoom istemcileri uygunsuz bir güven sınırı uygulaması güvenlik açığı içeriyor. Kurban, bir SMB konumuna yerel bir kaydı kaydedip daha sonra Zoom'un web portalındaki bir linki kullanarak bunu açtığında kurban istemciye bitişik bir ağda konumlanan bir saldırgan, istemci isteklerine yanıt vermek için kötü amaçlı bir SMB sunucusu kurabilir. Bu da, istemcinin saldırgan tarafından kontrol edilen yürütülebilir dosyaları çalıştırmasına neden olur. Bu durumda saldırgan, kullanıcının cihazına ve verilerine erişebilir ve uzaktan kod çalıştırabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.13.5 sürümü öncesindeki Zoom (Android, iOS, Linux, macOS ve Windows için) istemcileri
  • 5.13.5 sürümü öncesindeki Zoom Rooms (Android, iOS, Linux, macOS ve Windows için) istemcileri
  • 5.13.10 sürümü öncesindeki Zoom VDI Windows Meeting istemcileri

Source: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir

ZSB-23004 03/14/2023 Zoom for macOS Yükleyicisi için Yerel Ayrıcalık Yükseltme Medium CVE-2023-28596

Severity: Medium

CVSS Score: 5.2

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L

Description: Sürüm 5.13.5 öncesindeki Zoom Client for IT Admin macOS yükleyicileri yerel bir ayrıcalık yükseltme güvenlik açığı içeriyor. Düşük ayrıcalığa sahip bir yerel kullanıcı, ayrıcalıklarını köklendirmek için kurulum işlemi sırasında bir saldırı zinciri içinde bu güvenlik açığından yararlanabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.13.5 sürümü öncesindeki Zoom Client for Meetings for IT Admin macOS yükleyicileri

Source: Koh M. Nakagawa (tsunekoh) tarafından bildirildi

ZSB-23003 03/14/2023 Zoom for Windows Yükleyicisi için Yerel Ayrıcalık Yükseltme High CVE-2023-22883

Severity: High

CVSS Score: 7.2

CVSS Vector String: CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:N/I:H/A:H

Description: Sürüm 5.13.5 öncesindeki Zoom Client for IT Admin Windows yükleyicileri yerel bir ayrıcalık yükseltme güvenlik açığı içeriyor. Düşük ayrıcalığa sahip yerel bir kullanıcı, ayrıcalıklarını SİSTEM kullanıcısına yükseltmek için yükleme işlemi sırasındaki bir saldırı zincirinde bu güvenlik açığından yararlanabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.13.5 sürümü öncesindeki Zoom Client for Meetings for IT Admin Windows yükleyicileri

Source: sim0nsecurity tarafından bildirildi

ZSB-23002 03/14/2023 Zoom İstemcilerinde Hizmet Reddi Medium CVE-2023-22881
CVE-2023-22882

Severity: Medium

CVSS Score: 6.5

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Description: Sürüm 5.13.5 öncesindeki Zoom istemcileri bir STUN ayrıştırma güvenlik açığı içeriyor. Bir zararlı aktör, özel olarak hazırlanmış UDP trafiğini kurban Zoom istemcisine uzaktan göndererek istemcinin çökmesine, hizmet reddine neden olabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.13.5 sürümü öncesindeki Zoom (Android, iOS, Linux, macOS ve Windows için) istemcileri

Source: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir

ZSB-23001 03/14/2023 Zoom for Windows İstemcilerinde Bilgi Açıklaması Medium CVE-2023-22880

Severity: Medium

CVSS Score: 6.8

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N

Description: Sürüm 5.13.3 öncesindeki Zoom for Windows istemcileri, sürüm 5.13.5 öncesindeki Zoom Rooms for Windows istemcileri ve sürüm 5.13.1 öncesindeki Zoom VDI for Windows istemcileri bir bilgi açıklama güvenlik açığı içeriyor. Etkilenen Zoom istemcileri tarafından kullanılan, kısa süre önceki bir Microsoft Edge WebView2 Runtime güncellemesi metni yerel Windows Spellcheck yerine Microsoft'un çevrimiçi Spellcheck'ine iletiyordu. Zoom'un güncellenmesi, bu özelliği devre dışı bırakarak bu güvenlik açığını düzeltiyor. Microsoft Edge WebView2 Runtime'ın en azından sürüm 109.0.1481.0'a güncellenmesi ve Zoom'un yeniden başlatılması Microsoft’un telemetri davranışını güncelleyerek bu güvenlik açığını düzeltiyor.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.13.3 sürümünden önceki Zoom for Windows istemcileri
  • 5.13.3 sürümü öncesindeki Zoom Rooms for Windows istemcileri
  • 5.13.1 öncesindeki Zoom VDI for Windows istemcileri

Source: Zoom Güvenlik Ekibi tarafından bildirilmiştir

ZSB-22035 01/06/2023 Windows Yükleyicileri için Zoom Rooms'ta Yerel Ayrıcalık Yükseltme High CVE-2022-36930

Severity: High

CVSS Score: 8.2

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Description: Sürüm 5.13.0 öncesindeki Zoom Rooms for Windows yükleyicileri yerel bir ayrıcalık yükseltme güvenlik açığı içeriyor. Düşük ayrıcalığa sahip yerel bir kullanıcı, ayrıcalıklarını SİSTEM kullanıcısına yükseltmek için bir saldırı zincirinde bu güvenlik açığından yararlanabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.13.0 sürümü öncesindeki Zoom Rooms for Windows yükleyicileri

Source: sim0nsecurity tarafından bildirildi

ZSB-22034 01/06/2023 Windows İstemcileri için Zoom Rooms'ta Yerel Ayrıcalık Yükseltme High CVE-2022-36929

Severity: High

CVSS Score: 7.8

CVSS Vector String: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Sürüm 5.12.7 öncesindeki Zoom Rooms for Windows istemcileri bir yerel ayrıcalık yükseltme güvenlik açığı içeriyor. Düşük ayrıcalığa sahip yerel bir kullanıcı, ayrıcalıklarını SİSTEM kullanıcısına yükseltmek için bir saldırı zincirinde bu güvenlik açığından yararlanabilir.
Kullanıcılar mevcut güncellemeleri yükleyerek veya tüm güncel güvenlik güncellemelerinin yer aldığı en yeni Zoom yazılım sürümünü https://zoom.us/download adresinden indirerek kendilerini bu duruma karşı korumaya alabilir.

Affected Products:

  • 5.12.7 sürümünden önceki Zoom Rooms for Windows istemcileri

Source: sim0nsecurity tarafından bildirildi

ZSB-22033 01/06/2023 Zoom for Android İstemcilerinde Yol Geçişi Critical CVE-2022-36928

Severity: Critical

CVSS Score: 6.1

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N

Description: Sürüm 5.13.0 öncesindeki Zoom for Android istemcileri bir yol geçişi güvenlik açığı içeriyor. Bir üçüncü taraf uygulaması bu güvenlik açığını istismar ederek Zoom uygulama verileri dizinini okuyabilir ve bu dizine yazabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.13.0 sürümünden önceki Zoom for Android istemcileri

Source: Microsoft'tan Dimitrios Valsamaras tarafından bildirilmiştir

ZSB-22032 01/06/2023 macOS İstemcileri için Zoom Rooms'ta Yerel Ayrıcalık Yükseltme Critical CVE-2022-36926
CVE-2022-36927

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Sürüm 5.11.3 öncesindeki Zoom Rooms for macOS istemcileri bir yerel ayrıcalık yükseltme güvenlik açığı içeriyor. Düşük yetkiye sahip bir yerel kullanıcı, bu güvenlik açığından yararlanarak ayrıcalıklarını kök hâline getirebilir.
Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.11.3 sürümünden önceki Zoom Rooms for macOS istemcileri

Source: Kirin (Pwnrin) tarafından bildirilmiştir

ZSB-22031 01/06/2023 macOS İstemcileri için Zoom Rooms için güvensiz anahtar oluşturma Critical CVE-2022-36925

Severity: Critical

CVSS Score: 4.4

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

Description: Sürüm 5.11.4 öncesindeki Zoom Rooms for macOS istemcileri bir güvensiz anahtar oluşturma mekanizması içeriyor. Zoom Rooms hayalet hizmeti ile Zoom Rooms istemcisi arasındaki IPC için kullanılan şifreleme anahtarı, yerel bir düşük ayrıcalıklı uygulama tarafından alınabilen parametreler kullanılarak oluşturuluyordu. Bu anahtar daha sonra ayrıcalıklı işlevlerin çalıştırılması ve yerel bir hizmet reddine yol açmak amacıyla hayalet hizmetiyle etkileşim için kullanılabiliyor.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.11.4 sürümünden önceki Zoom Rooms for macOS

Source: Kirin (Pwnrin) tarafından bildirilmiştir

ZSB-22030 11/15/2022 Windows için Zoom Rooms Yükleyicisinde Yerel Ayrıcalık Yükseltmesi Critical CVE-2022-36924

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: 5.12.6'dan önceki Windows için Zoom Rooms Yükleyicisi, yerel bir ayrıcalık yükseltme güvenlik açığı içerir. Düşük ayrıcalığa sahip yerel bir kullanıcı, ayrıcalıklarını SİSTEM kullanıcısına yükseltmek için yükleme işlemi sırasında bu güvenlik açığından yararlanabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.12.6 sürümünden önceki Windows için Zoom Rooms Yükleyicisi

Source: sim0nsecurity tarafından bildirildi

ZSB-22029 11/15/2022 macOS için Zoom Client Yükleyicisinde Yerel Ayrıcalık Yükseltme Critical CVE-2022-28768

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: 5.12.6 sürümünden önceki macOS için Zoom Client for Meetings (Standart ve BT Yöneticisi için) yerel bir ayrıcalık yükseltme güvenlik açığı içeriyor. Düşük ayrıcalığa sahip bir yerel kullanıcı, ayrıcalıklarını köklendirmek için bu güvenlik açığından yararlanabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.12.6 sürümü öncesi macOS için Zoom Client for Meetings (Standart ve BT Yöneticisi için)

Source: Koh M. Nakagawa (tsunekoh) tarafından bildirildi

ZSB-22027 11/15/2022 Zoom Windows İstemcilerinde DLL enjeksiyonu Critical CVE-2022-28766

Severity: Critical

CVSS Score: 8.1

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L

Description: Zoom Client for Meetings'in 5.12.6'dan önceki Windows 32-bit sürümleri ve 5.12.6 sürümünden önceki for Konferans Odası için Zoom Rooms sürümleri, DLL enjeksiyonu güvenlik açığına maruz kalabilir. Düşük ayrıcalığa sahip bir yerel kullanıcı, Zoom istemcisi bağlamında rastgele kod çalıştırmak için bu güvenlik açığından yararlanabilir.

Kullanıcılar mevcut güncellemeleri yükleyerek veya tüm güncel güvenlik güncellemelerinin yer aldığı en yeni Zoom yazılım sürümünü https://zoom.us/download adresinden indirerek kendilerini bu duruma karşı korumaya alabilir.

Affected Products:

  • 5.12.6 öncesi Windows (32 bit) için Zoom Client for Meetings sürümleri
  • 5.12.6 öncesi Windows (32 bit) için Zoom VDI Windows Meeting Client sürümleri
  • 5.12.6 öncesi Windows (32 bit) için Zoom Rooms for Conference Room sürümleri

Source: sim0nsecurity tarafından bildirildi

ZSB-22025 11/10/2022 Zoom İstemcilerinde yerel bilgi teşhiri Critical CVE-2022-28764

Severity: Critical

CVSS Score: 3.3

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Description: 5.12.6 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri, yerel bilgi teşhiri güvenlik açığına maruz kalabilir.

Bir toplantı sona erdikten sonra yerel bir SQL veritabanından verilerin temizlenememesi ve bu veritabanını şifreleyen yeterince güvenli olmayan bir cihaz başına anahtarın kullanılması, kötü niyetli yerel bir kullanıcının toplantı bilgilerini alabilmesine neden olur (bu yerel kullanıcı hesabından katılınmış önceki toplantıdan toplantı içi sohbet gibi).

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.12.6 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri
  • 5.12.6 öncesi Zoom VDI Windows Meeting Client sürümleri
  • 5.12.6 öncesi Zoom Rooms for Conference Room (Android, iOS, Linux, macOS ve Windows için) sürümleri

Source: SySS GmbH'den Christian Zäske tarafından bildirildi

ZSB-22024 10/24/2022 Zoom İstemcilerinde uygun olmayan URL ayrıştırma Critical CVE-2022-28763

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Description: 5.12.2 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri, URL ayrıştırma güvenlik açığına maruz kalabilir. Kötü amaçlı bir Zoom toplantı URL'si açılırsa kötü amaçlı bağlantı, kullanıcıyı rastgele bir ağ adresine bağlanmaya yönlendirebilir ve bu da oturumların ele geçirilmesi de dahil olmak üzere ek saldırılara yol açabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.12.2 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri
  • 5.12.2 öncesi Zoom VDI Windows Meeting Client sürümleri
  • 5.12.2 öncesi Zoom Rooms for Conference Room (Android, iOS, Linux, macOS ve Windows için) sürümleri

Source: Zoom Güvenlik Ekibi tarafından bildirilmiştir

ZSB-22023 10/11/2022 macOS için Zoom Client for Meetings'te Zoom Apps'in sorun giderme bağlantı noktasında yanlış yapılandırma Critical CVE-2022-28762

Severity: Critical

CVSS Score: 7.3

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

Description: 5.10.6 sürümünden başlayarak 5.12.0 sürümünden önce macOS için (Standart ve BT Yöneticisi için) Zoom Client for Meetings'te, sorun giderme bağlantı noktası yanlış yapılandırması var. Belli Zoom Apps uygulamalarını çalıştırarak Zoom Uygulama Katmanları API'sinin parçası olarak kamera modu işleme bağlamı etkinleştirildiğinde, Zoom istemcisi tarafından yerel bir hata ayıklama bağlantı noktası açılır. Kötü niyetli yerel bir kullanıcı, bu sorun giderme bağlantı noktasını kullanarak Zoom istemcisinde çalışan Zoom Apps'e bağlanıp bunu kontrol edebilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.10.6'dan başlayarak 5.12.0 sürümünden önce macOS için (Standart ve BT Yöneticisi için) Zoom Client for Meetings

Source: Zoom Güvenlik Ekibi tarafından bildirilmiştir

ZSB-22022 10/11/2022 Zoom Şirket İçi Dağıtımlar: Hatalı Erişim Kontrolü Critical CVE-2022-28761

Severity: Critical

CVSS Score: 6.5

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Description: 4.8.20220916.131 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümlerinde hatalı erişim kontrolü güvenlik açığı bulunuyor. Sonuç olarak, bir toplantıda veya web seminerinde katılma yetkisi verilmiş zararlı bir aktör, katılımcıların ses ve videoyu almasını önleyip toplantıda sorunlara sebep olabilir.

Zoom Şirket İçi Dağıtımlar için BT yöneticileri şu bağlantıyı kullanarak Zoom yazılımlarını güncel tutabilir: https://support.zoom.us/hc/en-us/articles/360043960031

Affected Products:

  • 4.8.20220916.131 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümleri

Source: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir

ZSB-22021 09/13/2022 Zoom Şirket İçi Dağıtımlar: Hatalı Erişim Kontrolü Critical CVE-2022-28760

Severity: Critical

CVSS Score: 6.5

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Description: 4.8.20220815.130 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümlerinde hatalı erişim kontrolü güvenlik açığı bulunuyor. Bu nedenle, zararlı bir aktör, katılma yetkisine sahip olduğu bir toplantıya diğer katılımcılara görünmeden katılabilir.

Zoom Şirket İçi Dağıtımlar için BT yöneticileri şu bağlantıyı kullanarak Zoom yazılımlarını güncel tutabilir: https://support.zoom.us/hc/en-us/articles/360043960031

Affected Products:

  • 4.8.20220815.130 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümleri

Source: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir

ZSB-22020 09/13/2022 Zoom Şirket İçi Dağıtımlar: Hatalı Erişim Kontrolü Critical CVE-2022-28758
CVE-2022-28759

Severity: Critical

CVSS Score: 8.2

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Description: 4.8.20220815.130 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümlerinde hatalı erişim kontrolü güvenlik açığı bulunuyor. Sonuç olarak, zararlı bir aktör, katılma yetkisine sahip olmadığı bir toplantının ses ve video akışını elde edip toplantıda farklı sorunlara sebep olabilir.

Zoom Şirket İçi Dağıtımlar için BT yöneticileri şu bağlantıyı kullanarak Zoom yazılımlarını güncel tutabilir: https://support.zoom.us/hc/en-us/articles/360043960031

Affected Products:

  • 4.8.20220815.130 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümleri

Source: Zoom Güvenlik Ekibi tarafından bildirilmiştir

ZSB-22019 08/17/2022 macOS Zoom Client for Meetings İçin Ses Güncelleyicisinde Yerel Ayrıcalık Yükseltme Critical CVE-2022-28757

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: 5.7.3 (dahil) ile 5.11.6 (hariç) arası sürüme sahip macOS Zoom Client for Meetings'te (Standart ve BT Yöneticisi için), ses güncelleme işleminde bir güvenlik açığı bulunuyor. Düşük yetkiye sahip bir yerel kullanıcı, bu güvenlik açığından yararlanarak ayrıcalıklarını kök hâline getirebilir.

Not: Bu sorun, CVE-2022-28756'ya çözüm bulmak için 5.11.5'te düzenlenen yamanın atlanmasına olanak verir.

Kullanıcılar mevcut güncellemeleri yükleyerek veya tüm güncel güvenlik güncellemelerinin yer aldığı en yeni Zoom yazılım sürümünü https://zoom.us/download adresinden indirerek kendilerini bu duruma karşı korumaya alabilir.

Affected Products:

  • 5.7.3 (dahil) ile 5.11.6 (hariç) arası sürüme sahip macOS Zoom Client for Meetings (Standart ve BT Yöneticisi için)

Source: Saldırı Güvenlik Ekibinden Csaba Fitzl (theevilbit) tarafından bildirilmiştir

ZSB-22018 08/13/2022 macOS Zoom ürünleri için Otomatik Güncelleyicide Yerel Ayrıcalık Yükseltme [Updated 2022-09-13] Critical CVE-2022-28756

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: 5.7.3 (dahil) ile 5.11.5 (hariç) sürüme sahip macOS Zoom Client for Meetings'te (Standart ve BT Yöneticisi için) ve 5.11.6'dan eski sürüme sahip macOS Konferans Odası için Zoom Rooms'ta ses güncelleme işleminde bir güvenlik açığı bulunuyor. Düşük yetkiye sahip bir yerel kullanıcı, bu güvenlik açığından yararlanarak ayrıcalıklarını kök hâline getirebilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

*Değişiklikler - 2022-09-13 - Başlık ve açıklama güncellendi ve Zoom Rooms "Etkilenen Ürünler" bölümüne dahil edildi.

Affected Products:

  • 5.7.3 (dahil) ile 5.11.5 (hariç) arası sürüme sahip macOS Zoom Client for Meetings (Standart ve BT Yöneticisi için)
  • 5.11.6 öncesi macOS Konferans Odası İçin Zoom Rooms sürümleri

Source: Objective-See'den Patrick Wardle tarafından bildirildi

ZSB-22017 08/09/2022 macOS Zoom Client for Meetings'te Yerel Ayrıcalık Yükseltme Critical CVE-2022-28751

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: 5.11.3 öncesi macOS Zoom Client for Meetings (Standart ve BT yöneticisi için) sürümlerinde güncelleme işlemi sırasında paket imza doğrulamada güvenlik açığı bulunuyor. Düşük yetkiye sahip bir yerel kullanıcı, bu güvenlik açığından yararlanarak ayrıcalıklarını kök hâline getirebilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.11.3 öncesi macOS Zoom Client for Meetings (Standart ve BT Yöneticisi için)

Source: Objective-See'den Patrick Wardle tarafından bildirildi

ZSB-22014 08/09/2022 Zoom Şirket İçi Dağıtımlar: Hatalı Erişim Kontrolü Critical CVE-2022-28753
CVE-2022-28754

Severity: Critical

CVSS Score: 7.1

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N

Description: 4.8.129.20220714 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümlerinde hatalı erişim kontrolü güvenlik açığı bulunuyor. Bu nedenle zararlı bir aktör, katılma yetkisine sahip olduğu bir toplantıya diğer katılımcılara görünmeden katılabilir, bekleme odasından kendisini toplantıya kabul edebilir, toplantı sahibi olabilir ve diğer toplantı sorunlarına sebep olabilir.

Zoom Şirket İçi Dağıtımlar için BT yöneticileri şu bağlantıyı kullanarak Zoom yazılımlarını güncel tutabilir: https://support.zoom.us/hc/en-us/articles/360043960031

Affected Products:

  • 4.8.129.20220714 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümleri

Source: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir

ZSB-22016 08/09/2022 Zoom İstemcilerinde uygun olmayan URL ayrıştırma [Updated 2022-10-24] Critical CVE-2022-28755

Severity: Critical

CVSS Score: 9.6

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Description: 5.11.0 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri, URL ayrıştırma güvenlik açığına maruz kalabilir. Kötü niyetli bir Zoom toplantı URL'si açıldığında, bu kötü amaçlı bağlantı kullanıcının rastgele bir ağ adresine bağlanmasına sebep olup bu rastgele yoldan gelen yürütülebilir dosyaları başlatarak olası bir uzaktan kod yürütme dahil diğer saldırılara sebep olabilir.

*Değişiklikler - 24/10/2022- "Etkilenen Ürünler" bölümüne Zoom Rooms eklendi.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.11.0 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri
  • 5.10.7 öncesi Zoom VDI Windows Meeting Clients sürümleri
  • 5.11.0 öncesi Zoom Rooms for Conference Room (Android, iOS, Linux, macOS ve Windows için) sürümleri

Source: Zoom Güvenlik Ekibi tarafından bildirilmiştir

ZSB-22013 08/09/2022 Windows İstemcisi için Zoom Rooms'ta Yerel Ayrıcalık Yükseltme Critical CVE-2022-28752

Severity: Critical

CVSS Score: 8.8

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Windows Konferans Odaları İçin Zoom Rooms 5.11.0 öncesi Zoom Rooms sürümleri, Yerel Ayrıcalık Yükseltme güvenlik açığına maruz kalabilir. Düşük yetkiye sahip kötü amaçlı bir yerel kullanıcı, bu güvenlik açığından yararlanarak ayrıcalıklarını SİSTEM kullanıcısına yükseltebilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • Windows Konferans Odası İçin 5.11.0 öncesi Zoom Rooms Sürümleri

Source: sim0nsecurity tarafından bildirildi

ZSB-22012 08/09/2022 Zoom Şirket İçi Dağıtımları: Toplantı Bağlayıcısında Yığın Arabelleği Taşması Critical CVE-2022-28750

Severity: Critical

CVSS Score: 7.5

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Description: 4.8.20220419.112 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı Bölge Kontrolörü (ZC) sürümleri, STUN hata kodlarını doğru bir şekilde ayrıştıramıyor. Bu durum bellek bozulmasına ve zararlı bir aktörün uygulamayı çökertmesine sebep olabiliyor. 4.8.12.20211115 öncesi sürümlerde bu güvenlik açığı ayrıca rastgele kod yürütecek şekilde kullanılabilir.

Zoom Şirket İçi Dağıtımlar İçin BT yöneticileri şu kılavuzu kullanarak Zoom yazılımlarını güncel tutabilir:
https://support.zoom.us/hc/en-us/articles/360043960031

Affected Products:

  • 4.8.20220419.112 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı Kontrolörü (ZC) sürümleri

Source: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir

ZSB-22011 06/14/2022 Toplantıya Katılım Sırasında Yetersiz Yetki Kontrolü Critical CVE-2022-28749

Severity: Critical

CVSS Score: 6.5

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Description: 4.8.113.20220526 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümleri, bir Zoom toplantısına katılanların izinlerini düzgün bir şekilde kontrol edemiyor. Bunun sonucunda, Zoom'un bekleme odasında tehdit arz eden bir aktörün, oturum sahibinin onayı olmadan toplantıya katılması söz konusu olabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 4.8.113.20220526 Öncesi Şirket İçi Toplantı Bağlayıcıları

Source: Zoom Saldırı Güvenlik Ekibi tarafından bildirilmiştir

ZSB- 22010 06/14/2022 Zoom ve Zoom Rooms Clients için Zoom Opener yükleme aracında DLL enjeksiyonu Critical CVE-2022-22788

Severity: Critical

CVSS Score: 7.1

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

Description: Zoom Opener yükleme aracı, Zoom Meeting Client yüklememiş olan ve bir toplantıya katılmaya çalışan bir kullanıcı tarafından "Launch Meeting" ("Toplantıyı Başlat") sayfasından indirilir. 5.10.3 öncesi Zoom Client for Meetings sürümü için ve 5.10.3 öncesi Windows için Zoom Rooms for Conference Room sürümü için Zoom Opener yükleme aracında DLL enjeksiyonu saldırısı görülebilir. Bu güvenlik açığı, kurbanın ana bilgisayarında rastgele kod yürütmek üzere kullanılabilir.

Kullanıcılar, Zoom Opener yükleme aracının daha eski sürümlerini kaldırarak ve "Launch Meeting" ("Toplantıyı Başlat") sayfasındaki “Download Now" (“Şimdi İndir") düğmesini kullanıp Zoom Opener yükleme aracının en son sürümünü çalıştırarak kendilerini güvende tutabilir. Kullanıcılar, https://zoom.us/download adresinden tüm mevcut güvenlik güncellemelerini içeren en son Zoom yazılımını indirerek de kendilerini koruyabilir.

Affected Products:

  • 5.10.3 öncesi Windows için Zoom Client for Meetings sürümleri
  • 5.10.3 öncesi tüm Windows için Zoom Rooms for Conference Room sürümleri

Source: James Tsz Ko Yeung tarafından bildirilmiştir

ZSB-22009 05/17/2022 Zoom Client for Meetings sunucu değişimi sırasında yetersiz ana bilgisayar adı doğrulaması Critical CVE-2022-22787

Severity: Critical

CVSS Score: 5.9

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Description: 5.10.0 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri, sunucu değiştirme isteği sırasında ana bilgisayar adını düzgün bir şekilde doğrulayamamaktadır. Bu sorun, durumdan haberi olmayan bir kullanıcıyı Zoom hizmetlerini kullanmaya çalışırken istemcisini kötü amaçlı bir sunucuya bağlaması için kandırmayı amaçlayan daha karmaşık bir saldırıda kullanılabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.10.0 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri

Source: Google Project Zero'dan Ivan Fratric tarafından bildirilmiştir

ZSB-22008 05/17/2022 Windows için Zoom Client for Meetings'de güncelleme paketi düşürme Critical CVE-2022-22786

Severity: Critical

CVSS Score: 7.5

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Description: 5.10.0 öncesi Windows için Zoom Client for Meetings sürümleri ve 5.10.0 öncesi Windows için Zoom Rooms for Conference Rooms sürümleri, güncelleştirme işlemi sırasında yükleme sürümünü düzgün bir şekilde denetleyememektedir. Bu sorun, bir kullanıcıyı Zoom istemcisini daha az güvenli bir sürüme düşürmesi için kandırmayı amaçlayan daha karmaşık bir saldırıda kullanılabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.10.0'dan eski tüm Windows için Zoom Client for Meetings sürümleri
  • 5.10.0 öncesi tüm Windows için Zoom Rooms for Conference Room sürümleri

Source: Google Project Zero'dan Ivan Fratric tarafından bildirilmiştir

ZSB-22007 05/17/2022 Zoom Clients for Meetings'de uygun olmayan şekilde kısıtlanmış oturum çerezleri Critical CVE-2022-22785

Severity: Critical

CVSS Score: 5.9

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Description: 5.10.0 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri, oturum çerezlerini Zoom etki alanlarıyla düzgün şekilde kısıtlayamamaktadır. Bu sorun, bir kullanıcının Zoom kapsamlı oturum çerezlerini Zoom dışındaki bir etki alanına göndermeyi amaçlayan daha karmaşık bir saldırıda kullanılabilir. Bu durum, bir Zoom kullanıcısının dolandırılmasıyla sonuçlanabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.10.0 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri

Source: Google Project Zero'dan Ivan Fratric tarafından bildirilmiştir

ZSB- 22006 05/17/2022 Zoom Client for Meetings'te Uygun Olmayan XML Ayrıştırma Critical CVE-2022-22784

Severity: Critical

CVSS Score: 8.1

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Description: 5.10.0 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri, XMPP iletilerindeki XML stanzalarını düzgün şekilde ayıramamaktadır. Bu durum, kötü niyetli bir kullanıcının mevcut XMPP iletisini bağlamından ayırmasına ve alıcı kullanıcının çeşitli eylemler gerçekleştirmesini sağlamak için yeni bir ileti bağlamı oluşturmasına imkân verebilir. Bu durum, sunucudaki XMPP iletilerinin sahtesini oluşturmayı amaçlayan daha karmaşık bir saldırıda kullanılabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.10.0 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri

Source: Google Project Zero'dan Ivan Fratric tarafından bildirilmiştir

ZSB- 22005 04/27/2022 Zoom şirket içi Toplantı hizmetlerinde işlemci belleği ifşası Critical CVE-2022-22783

Severity: Critical

CVSS Score: 8.3

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/CR:H

Description: Zoom Şirket İçi Toplantı Bağlayıcısı Controller'ı sürüm 4.8.102.20220310 ve Şirket İçi Toplantı Bağlayıcısı MMR sürüm 4.8.102.20220310'da bulunan bir güvenlik açığı, işlemci belleği parçalarını bağlı istemcilere ifşa ediyor ve pasif durumdaki saldırganlar tarafından fark edilebilir hale getiriyor.

Kullanıcılar, mevcut güncellemeleri yükleyerek veya tüm güncel güvenlik güncellemelerinin yer aldığı en son Zoom yazılımını indirerek kendilerini bu duruma karşı korumaya alabilir.

Affected Products:

  • Zoom Şirket İçi Toplantı Bağlayıcısı Controller'ı sürüm 4.8.102.20220310
  • Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürüm 4.8.102.20220310

Source: Zoom Saldırı Güvenlik Ekibi

ZSB-22004 04/27/2022 Windows Zoom İstemcilerinde yerel ayrıcalık yükseltme Critical CVE-2022-22782

Severity: Critical

CVSS Score: 7.9

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

Description: 5.9.7 sürümünden önceki Windows için Zoom Clients for Meetings, 5.10.0 sürümünden önceki Windows için Zoom Rooms for Conference Room, 5.10.3 sürümünden önceki Windows için Microsoft Outlook için Zoom Eklentileri ve 5.9.6 sürümünden önceki Zoom VDI Windows Meeting İstemcileri; yükleyicinin onarım işlemi sırasında yerel bir ayrıcalık yükseltme sorunundan kolayca etkilenebiliyordu. Zararlı bir aktör bunu sistem düzeyindeki dosyaları veya klasörleri silmek için kullanabilir ve kullanıcının ana makinesinde bütünlük veya kullanılabilirlik sorunlarına neden olabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.9.7 öncesi tüm Windows için Zoom Client for Meetings sürümleri
  • 5.10.0 öncesi tüm Windows için Zoom Rooms for Conference Room sürümleri
  • 5.10.3 öncesi tüm Windows için Microsoft Outlook için Zoom Eklentileri sürümleri
  • 5.9.6 öncesi tüm Zoom VDI Windows Meeting Client sürümleri

Source: Zero Day Initiative tarafından bildirildi

ZSB-22003 04/27/2022 macOS Zoom Client for Meetings'te güncelleme paketi düşürme Critical CVE-2022-22781

Severity: Critical

CVSS Score: 7.5

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Description: 5.9.6 öncesi macOS Zoom Client for Meetings (Standart ve BT yöneticisi için) sürümleri, güncelleme işlemi sırasında paket sürümünü düzgün şekilde kontrol edemiyordu. Bu durum, zararlı bir aktörün durumdan haberi olmayan bir kullanıcının mevcut yüklü sürümünü daha az güvenli bir sürüme güncellemesine sebebiyet verebilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.9.6 öncesi macOS tüm Zoom Client for Meetings (standart ve BT yöneticisi için) sürümleri

Source: Objective-See'den Patrick Wardle tarafından bildirildi

ZSB-22002 02/08/2022 Zoom Team Chat Zip Bombasından Kolayca Etkilenebiliyor Critical CVE-2022-22780

Severity: Critical

CVSS Score: 4.7

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L

Description: Zoom Client for Meetings'in sohbet işlevi, şu ürün sürümlerinde Zip bombası saldırılarından kolayca etkilenebiliyordu: 5.8.6 öncesi Android sürümleri, 5.9.0 öncesi iOS sürümleri, 5.8.6 öncesi Linux sürümleri, 5.7.3 öncesi macOS sürümleri ve 5.6.3 öncesi Windows sürümleri. Bu durum, sistem kaynaklarını tüketerek istemci ana bilgisayarında kullanılabilirlik sorunlarına neden olabiliyordu.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.8.6 öncesi tüm Android için Zoom Client for Meetings sürümleri
  • 5.9.0 öncesi tüm iOS için Zoom Client for Meetings sürümleri
  • 5.8.6 öncesi tüm Linux için Zoom Client for Meetings sürümleri
  • 5.7.3 öncesi tüm macOS için Zoom Client for Meetings sürümleri
  • 5.6.3 öncesi tüm Windows için Zoom Client for Meetings sürümleri

Source: Walmart Global Tech'ten Johnny Yu tarafından bildirilmiştir

ZSB-22001 02/08/2022 macOS ve Windows için Keybase istemcilerinde saklanan ayrıntı dökümlü mesajlar Critical CVE-2022-22779

Severity: Critical

CVSS Score: 3.7

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Description: 5.9.0 öncesi macOS ve Windows için Keybase İstemcileri sürümlerinde, bir kullanıcı tarafından başlatılan ayrıntı dökümlü mesajlar düzgün bir şekilde kaldırılamıyor. Bu durum, mesajı alan kullanıcının sohbet olmayan bir özelliğe geçmesi ve gönderen kullanıcının mesaja ait ayrıntı dökümlerini almadan önce ana bilgisayarı uyku durumuna geçirmesi halinde oluşabiliyor. Bu durum, kullanıcının dosya sisteminden silinmesi amaçlanan hassas bilgilerin ifşa olmasına neden olabilir.

Kullanıcılar mevcut güncellemeleri yükleyerek veya tüm güncel güvenlik güncellemelerinin yer aldığı en yeni Keybase yazılımı sürümünü https://keybase.io/download adresinden indirerek kendilerini bu duruma karşı korumaya alabilir.

Affected Products:

  • 5.9.0 öncesi tüm Windows için Keybase İstemcisi sürümleri

Source: Olivia O'Hara tarafından bildirildi

ZSB-21022 12/14/2021 Windows için Keybase İstemcisi'nde rastgele komut yürütme Critical CVE-2021-34426

Severity: Critical

CVSS Score: 5.3

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

Description: Windows için Keybase İstemcisi 5.6.0 öncesindeki sürümlerde, kullanıcılar komut satırında "keybase git lfs-config" komutunu yürüttüğünde bir güvenlik açığı oluştuğu keşfedilmiştir. 5.6.0 öncesi sürümlerde, bir kullanıcının Git deposuna yazma erişimi olan kötü niyetli aktörlerin bu güvenlik açığından faydalanarak kullanıcıların yerel sisteminde rastgele Windows komutları yürütmesi söz konusu olabilir.

Kullanıcılar mevcut güncellemeleri yükleyerek veya tüm güncel güvenlik güncellemelerinin yer aldığı en yeni Keybase yazılımı sürümünü https://keybase.io/download adresinden indirerek kendilerini bu duruma karşı korumaya alabilir.

Affected Products:

  • 5.6.0 öncesi tüm Windows için Keybase İstemcisi sürümleri

Source: RyotaK tarafından bildirildi

ZSB-21021 12/14/2021 Zoom Client for Meetings'de Sunucu Tarafı İstek Sahtekârlığı Critical CVE-2021-34425

Severity: Critical

CVSS Score: 4.7

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N

Description: 5.7.3 öncesi Zoom Client for Meetings sürümlerinde (Android, iOS, Linux, macOS ve Windows için), sohbet içindeki "bağlantı önizlemesi" fonksiyonunda sunucu tarafı istek sahtekârlığına karşı bir güvenlik açığı mevcuttur. 5.7.3 öncesi sürümlerde; sohbetteki "bağlantı önizlemesi" özelliğini etkinleştiren bir kullanıcının kötü niyetli bir aktör tarafından kandırılması ve aktörün doğrudan ulaşamayacağı URL'lere rastgele HTTP GET istekleri göndermesi söz konusu olabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.7.3 öncesi tüm Zoom Client for Meetings sürümleri (Android, iOS, Linux, macOS ve Windows için)

Source: Walmart Global Tech'ten Johnny Yu tarafından bildirilmiştir

ZSB-21020 11/24/2021 Zoom Client'ta ve diğer ürünlerde işleme belleği ifşası Critical CVE-2021-34424

Severity: Critical

CVSS Score: 5.3

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Description: Bu bültenin "Etkilenen Ürünler" bölümünde listelenen ürünlerde, işlem belleği durumunun ifşa olmasına yol açabilecek bir güvenlik açığı keşfedilmiştir. Bu açıktan faydalananlar, ürün belleğindeki rastgele alanlar hakkında bilgi edinebilir.

Zoom, aşağıdaki bölümde listelenen ürünlerin en güncel sürümlerinde bu sorunu çözmüştür. Kullanıcılar, mevcut güncellemeleri yükleyerek veya tüm güncel güvenlik güncellemelerinin yer aldığı en son Zoom yazılımını indirerek kendilerini bu duruma karşı korumaya alabilir.

Affected Products:

  • 5.8.4 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri
  • 5.8.1 öncesi Blackberry (Android ve iOS) için Zoom Client for Meetings sürümleri
  • 5.8.4 öncesi intune (Android ve iOS) için Zoom Client for Meetings sürümleri
  • 5.0.1 öncesi Chrome işletim sistemi için Zoom Client for Meetings sürümleri
  • 5.8.3 öncesi Zoom Rooms for Conference Room (Android, AndroidBali, macOS ve Windows için) sürümleri
  • 5.8.3 öncesi Zoom Rooms için Kontrolörler (Android, iOS ve Windows) sürümleri
  • 5.8.4 öncesi Zoom VDI Windows Meeting Client sürümleri
  • 5.8.4.21112 öncesi Zoom VDI Azure Sanal Masaüstü Eklentileri (Windows x86 veya x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64 için) sürümleri
  • 5.8.4.21112 öncesi Zoom VDI Citrix Eklentileri (Windows x86 veya x64, Mac Genel Amaçlı Yükleyici ve Kaldırıcı, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) sürümleri
  • 5.8.4.21112 öncesi Zoom VDI VMware Eklentileri (Windows x86 veya x64, Mac Genel Amaçlı Yükleyici ve Kaldırıcı, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) sürümleri
  • 5.7.6.1922 öncesi Android için Zoom Meeting SDK sürümleri
  • 5.7.6.1082 öncesi iOS için Zoom Meeting SDK sürümleri
  • 5.7.6.1081 öncesi Windows için Zoom Meeting SDK sürümleri
  • 5.7.6.1340 öncesi Mac için Zoom Meeting SDK sürümleri
  • 1.1.2 öncesi Zoom Video SDK (Android, iOS, macOS ve Windows için) sürümleri
  • 4.8.12.20211115 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı sürümleri
  • 4.8.12.20211115 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümleri
  • 5.1.0.65.20211116 öncesi Zoom Şirket İçi Kayıt Bağlayıcısı sürümleri
  • 4.4.7266.20211117 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı sürümleri
  • 2.5.5692.20211117 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı Yük Dengeleyici sürümleri
  • 1.0.1058.20211116 öncesi Zoom Hybrid Zproxy sürümleri
  • 4.6.20211116.131_x86-64 öncesi Zoom Hybrid MMR sürümleri

Source: Google Project Zero'dan Natalie Silvanovich tarafından bildirilmiştir

ZSB-21019 11/24/2021 Zoom Client'ta ve diğer ürünlerde arabellek taşması Critical CVE-2021-34423

Severity: Critical

CVSS Score: 7.3

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Description: Bu bültenin "Etkilenen Ürünler" bölümünde listelenen ürünlerde, arabellek taşması ile ilgili bir güvenlik açığı keşfedilmiştir. Bu durum kötü niyetli bir aktörün hizmeti veya uygulamayı çökertmesine veya bu güvenlik açığından faydalanarak rastgele kod yürütmesine neden olabilir.

Zoom, aşağıdaki bölümde listelenen ürünlerin en güncel sürümlerinde bu sorunu çözmüştür. Kullanıcılar, mevcut güncellemeleri yükleyerek veya tüm güncel güvenlik güncellemelerinin yer aldığı en son Zoom yazılımını indirerek kendilerini bu duruma karşı korumaya alabilir.

Affected Products:

  • 5.8.4 öncesi Zoom Client for Meetings (Android, iOS, Linux, macOS ve Windows için) sürümleri
  • 5.8.1 öncesi Blackberry (Android ve iOS) için Zoom Client for Meetings sürümleri
  • 5.8.4 öncesi intune (Android ve iOS) için Zoom Client for Meetings sürümleri
  • 5.0.1 öncesi Chrome işletim sistemi için Zoom Client for Meetings sürümleri
  • 5.8.3 öncesi Zoom Rooms for Conference Room (Android, AndroidBali, macOS ve Windows için) sürümleri
  • 5.8.3 öncesi Zoom Rooms için Kontrolörler (Android, iOS ve Windows) sürümleri
  • 5.8.4 öncesi Zoom VDI Windows Meeting Client sürümleri
  • 5.8.4.21112 öncesi Zoom VDI Azure Sanal Masaüstü Eklentileri (Windows x86 veya x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64 için) sürümleri
  • 5.8.4.21112 öncesi Zoom VDI Citrix Eklentileri (Windows x86 veya x64, Mac Genel Amaçlı Yükleyici ve Kaldırıcı, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) sürümleri
  • 5.8.4.21112 öncesi Zoom VDI VMware Eklentileri (Windows x86 veya x64, Mac Genel Amaçlı Yükleyici ve Kaldırıcı, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) sürümleri
  • 5.7.6.1922 öncesi Android için Zoom Meeting SDK sürümleri
  • 5.7.6.1082 öncesi iOS için Zoom Meeting SDK sürümleri
  • 5.7.6.1340 öncesi macOS için Zoom Meeting SDK sürümleri
  • 5.7.6.1081 öncesi Windows için Zoom Meeting SDK sürümleri
  • 1.1.2 öncesi Zoom Video SDK (Android, iOS, macOS ve Windows için) sürümleri
  • 4.8.12.20211115 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı Kontrolörü sürümleri
  • 4.8.12.20211115 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümleri
  • 5.1.0.65.20211116 öncesi Zoom Şirket İçi Kayıt Bağlayıcısı sürümleri
  • 4.4.7266.20211117 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı sürümleri
  • 2.5.5692.20211117 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı Yük Dengeleyici sürümleri
  • 1.0.1058.20211116 öncesi Zoom Hybrid Zproxy sürümleri
  • 4.6.20211116.131_x86-64 öncesi Zoom Hybrid MMR sürümleri

Source: Kaynak: Google Project Zero'dan Natalie Silvanovich tarafından bildirilmiştir

ZSB-21018 11/09/2021 Windows için Keybase İstemcisi'nde dosya adları için yol geçişi Critical CVE-2021-34422

Severity: Critical

CVSS Score: 7.2

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

Description: 5.7.0 öncesi Windows için Keybase İstemcisi sürümlerinde, bir ekip klasörüne yüklenen dosya adının kontrol edilmesi sırasında oluşan bir yol geçişi güvenlik açığı mevcuttur. Kötü niyetli bir kullanıcı, özel hazırlanmış dosya adına sahip bir dosyayı paylaşımlı klasöre yükleyerek, kullanıcının aslında ana makinede yürütülmesi amaçlanmamış olan bir uygulamayı yürütmesine neden olabilir. Kötü niyetli kullanıcı bu sorunla birlikte Keybase istemcisinin ortak klasör paylaşım özelliğinden de faydalanarak uzaktan kod yürütme gerçekleştirebilir.

Keybase bu sorunu Windows için Keybase İstemcisi 5.7.0 sürümünde çözmüştür. Kullanıcılar mevcut güncellemeleri yükleyerek veya tüm güncel güvenlik güncellemelerinin yer aldığı en yeni Keybase yazılımı sürümünü https://keybase.io/download adresinden indirerek kendilerini bu duruma karşı korumaya alabilir.

Affected Products:

  • 5.7.0 öncesi Windows için Keybase İstemcisi sürümleri

Source: m4t35z tarafından bildirilmiştir

ZSB-21017 11/09/2021 Android ve iOS için Keybase istemcilerinde saklanan ayrıntı dökümlü mesajlar Critical CVE-2021-34421

Severity: Critical

CVSS Score: 3.7

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Description: Android için Keybase İstemcisi 5.8.0 ve iOS için Keybase İstemcisi 5.8.0 öncesi sürümlerde; gönderen kullanıcının mesaja ait ayrıntı dökümlerini alması sırasında mesajı alan kullanıcının sohbet oturumunu arka plana alması halinde, kullanıcı tarafından başlatılan ayrıntı dökümlü mesajlar düzgün şekilde kaldırılamıyor. Bu durum, müşterinin cihazından silinmesi amaçlanan hassas bilgilerin ifşa olmasına neden olabilir.

Keybase bu sorunu 5.8.0 Android için Keybase İstemcisi ve 5.8.0 iOS için Keybase İstemcisi sürümlerinde çözmüştür. Kullanıcılar mevcut güncellemeleri yükleyerek veya tüm güncel güvenlik güncellemelerinin yer aldığı en yeni Keybase yazılımı sürümünü https://keybase.io/download adresinden indirerek kendilerini bu duruma karşı korumaya alabilir.

Affected Products:

  • 5.8.0 öncesi tüm Android için Keybase İstemcisi sürümleri
  • 5.8.0 öncesi tüm iOS için Keybase İstemcisi sürümleri

Source: Olivia O'Hara, John Jackson, Jackson Henry ve Robert Willis tarafından bildirilmiştir

ZSB-21016 11/09/2021 Zoom Windows kurulumu yürütülebilir imza atlaması Critical CVE-2021-34420

Severity: Critical

CVSS Score: 4.7

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N

Description: Windows için Zoom Client for Meetings yükleyici 5.5.4 öncesi sürümlerinde .msi, .ps1 ve .bat uzantılı dosyaların imzaları düzgün şekilde doğrulanamıyor. Bu sorun, kötü niyetli bir aktörün müşterinin bilgisayarına kötü niyetli yazılım yüklemesine neden olabilir.

Zoom bu sorunu Windows için Zoom Client for Meetings 5.5.4 sürümünde çözmüştür. Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.5.4 öncesi tüm Windows için Zoom Client for Meetings sürümleri

Source: ManoMano'dan Laurent Delosieres tarafından bildirilmiştir

ZSB-21015 11/09/2021 Zoom Linux istemcisinde HTML enjeksiyonu Critical CVE-2021-34419

Severity: Critical

CVSS Score: 3.7

CVSS Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

Description: Ubuntu Linux için Zoom Client for Meetings 5.1.0 öncesi sürümlerde, toplantı içinde ekran paylaşımı yapılırken bir kullanıcıya uzaktan kontrol isteği gönderildiğinde bir HTML enjeksiyonu hatası oluşuyor. Bu sorun, toplantı katılımcılarının sosyal mühendislik saldırıları için hedef alınmasına neden olabilir.

Zoom bu sorunu Ubuntu Linux için Zoom Client for Meetings 5.1.0 sürümünde çözmüştür. Kullanıcılar mevcut güncellemeleri yükleyerek veya tüm güncel güvenlik güncellemelerinin yer aldığı en yeni Zoom yazılım sürümünü https://zoom.us/download adresinden indirerek kendilerini bu duruma karşı korumaya alabilir.

Affected Products:

  • 5.1.0 öncesi Ubuntu Linux için Zoom Client for Meetings sürümleri

Source: hackdefense'ten Danny de Weille ve Rick Verdoes tarafından bildirilmiştir

ZSB-21014 11/09/2021 Şirket içi web konsolunda kimlik doğrulama öncesi Boş işaretçi çökmesi Critical CVE-2021-34418

Severity: Critical

CVSS Score: 4.0

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Description: Bu bültenin "Etkilenen Ürünler" bölümünde listelenen ürünler için web konsolunun oturum açma hizmeti, kimlik doğrulama sırasında NULL (BOŞ) bayt gönderildiğini doğrulayamıyor. Bu, oturum açma hizmetinin çökmesine neden olabilir.

Affected Products:

  • 4.6.239.20200613 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı Kontrolörü sürümleri
  • 4.6.239.20200613 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümleri
  • 3.8.42.20200905 öncesi Zoom Şirket İçi Kayıt Bağlayıcısı sürümleri
  • 4.4.6344.20200612 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı sürümleri
  • 2.5.5492.20200616 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı Yük Dengeleyici sürümleri

Source: Jeremy Brown tarafından bildirilmiştir

ZSB-21013 11/09/2021 MMR'de web konsolu aracılığıyla kök ayrıcalıkları ile kimliği doğrulanmış uzaktan komut yürütme Critical CVE-2021-34417

Severity: Critical

CVSS Score: 7.9

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N

Description: Bu bültenin "Etkilenen Ürünler" bölümünde listelenen ürünlerin web portalındaki ağ proxy sayfası, ağ proxy parolasını belirlemeye yönelik isteklerde gönderilen girdileri doğrulayamıyor. Bu sorun, bir web portalı yöneticisi tarafından uzaktan komut enjeksiyonu yapılabilmesine neden olabilir.

Affected Products:

  • 4.6.365.20210703 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı Kontrolörü sürümleri
  • 4.6.365.20210703 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümleri
  • 3.8.45.20210703 öncesi Zoom Şirket İçi Kayıt Bağlayıcısı sürümleri
  • 4.4.6868.20210703 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı sürümleri
  • 2.5.5496.20210703 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı Yük Dengeleyici sürümleri

Source: Jeremy Brown tarafından bildirilmiştir

ZSB-21012 09/30/2021 Web portalı aracılığıyla Şirket İçi İmajlara karşı Uzaktan Kod Yürütme Critical CVE-2021-34416

Severity: Critical

CVSS Score: 5.5

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N

Description: 4.6.360.20210325 sürümü öncesi Zoom Şirket İçi Toplantı Bağlayıcısı, 4.6.360.20210325 sürümü öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR, 3.8.44.20210326 sürümü öncesi Zoom Şirket İçi Kayıt Bağlayıcısı, 4.4.6752.20210326 sürümü öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı ve 2.5.5495.20210326 sürümü öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı Yük Dengeleyici için ağ adresi yönetim ayarları web portalı, ağ yapılandırmasını güncelleme isteklerinde gönderilen girdileri doğrulayamıyor. Bu sorun, web portalı yöneticilerinin şirket içi imaja uzaktan komut enjeksiyonu yapabilmesine neden olabilir.

Affected Products:

  • 4.6.360.20210325 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı sürümleri
  • 4.6.360.20210325 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümleri
  • 3.8.44.20210326 öncesi Zoom Şirket İçi Kayıt Bağlayıcısı sürümleri
  • 4.4.6752.20210326 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı sürümleri
  • 2.5.5495.20210326 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı Yük Dengeleyici sürümleri

Source: Positive Technologies'ten Egor Dimitrenko tarafından bildirilmiştir

ZSB-21011 09/30/2021 Birden çok tahsisin yapılmasına neden olan PDU kullanımlı ZC çökmesi Critical CVE-2021-34415

Severity: Critical

CVSS Score: 7.5

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Description: 4.6.358.20210205 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı Kontrolörü sürümlerindeki Bölge Kontrolörü, gelen ağ paketlerinde gönderilen cnt alanını doğrulayamıyor ve bu da kaynakların tükenmesine ve sistemine çökmesine neden oluyor.

Affected Products:

  • 4.6.358.20210205 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı Kontrolörü sürümleri

Source: Positive Technologies'ten Nikita Abramov tarafından bildirilmiştir

ZSB-21010 09/30/2021 Web portalı ağ proxy yapılandırması aracılığıyla Toplantı Bağlayıcısı sunucusuna karşı Uzaktan Kod Yürütme Critical CVE-2021-34414

Severity: Critical

CVSS Score: 7.2

CVSS Vector String: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Description: 4.6.348.20201217 sürümü öncesi Zoom Şirket İçi Toplantı Bağlayıcısı Kontrolörü, 4.6.348.20201217 sürümü öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR, 3.8.42.20200905 sürümü öncesi Zoom Şirket İçi Kayıt Bağlayıcısı, 4.4.6620.20201110 sürümü öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı ve 2.5.5495.20210326 sürümü öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı Yük Dengeleyici için web portalındaki ağ proxy sayfası, ağ proxy yapılandırmasını güncelleme isteklerinde gönderilen girdileri doğrulayamıyor. Bu sorun, bir web portalı yöneticisinin şirket içi imaja uzaktan komut enjeksiyonu yapabilmesine neden olabilir.

Affected Products:

  • 4.6.348.20201217 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı Kontrolörü sürümleri
  • 4.6.348.20201217 öncesi Zoom Şirket İçi Toplantı Bağlayıcısı MMR sürümleri
  • 3.8.42.20200905 öncesi Zoom Şirket İçi Kayıt Bağlayıcısı sürümleri
  • 4.4.6620.20201110 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı sürümleri
  • 2.5.5495.20210326 öncesi Zoom Şirket İçi Sanal Oda Bağlayıcısı Yük Dengeleyici sürümleri

Source: Positive Technologies'ten Egor Dimitrenko tarafından bildirilmiştir

ZSB-21009 09/30/2021 Zoom macOS Outlook Eklenti Yükleyici Yerel Ayrıcalık Yükseltme Critical CVE-2021-34413

Severity: Critical

CVSS Score: 2.8

CVSS Vector String: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N

Description: 5.3.52553.0918 öncesi tüm macOS Microsoft Outlook Zoom Eklentisi sürümlerinde eklenti yükleme işlemi sırasında oluşan Kontrol zamanı/Kullanım zamanı (TOC/TOU) ilişkili bir güvenlik açığı bulunuyor. Bu sorun, standart bir kullanıcının eklenti dizinine kendi kötü amaçlı yazılımını yazabilmesine ve bu kötü amaçlı yazılımın ayrıcalıklı bağlamda yürütülebilmesine olanak verebilir.

Affected Products:

  • 5.3.52553.0918 öncesi tüm macOS Microsoft Outlook Zoom Eklentisi sürümleri

Source: Lockheed Martin Red Ekibi tarafından bildirilmiştir

ZSB-21008 09/30/2021 Zoom for Windows Yükleyici Yerel Ayrıcalık Yükseltme Critical CVE-2021-34412

Severity: Critical

CVSS Score: 4.4

CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Description: 5.4.0 öncesi tüm Windows için Zoom Client for Meetings sürümlerinde yükleme işlemi yapılırken Internet Explorer'ın başlatılması mümkündür. Yükleyici, SCCM ile olana benzer yükseltilmiş ayrıcalıklarla başlatılmışsa bu durum yerel ayrıcalık yükseltmeye de neden olabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.4.0 öncesi Windows için Zoom Client for Meetings sürümleri

Source: Lockheed Martin Red Ekibi tarafından bildirilmiştir

ZSB-21007 09/30/2021 Zoom Rooms Yükleyici Yerel Ayrıcalık Yükseltme Critical CVE-2021-34411

Severity: Critical

CVSS Score: 4.4

CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Description: 5.3.0 öncesi Windows için Zoom Rooms for Conference Room sürümleri için yükleme işlemi yapılırken Internet Explorer'ın yükseltilmiş ayrıcalıklar ile başlatılması mümkündür. Yükleyici, SCCM ile olana benzer yükseltilmiş ayrıcalıklarla başlatılmışsa bu durum yerel ayrıcalık yükseltmeye de neden olabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.3.0 öncesi Windows için Zoom Rooms for Conference Room sürümleri
  • 4.1.34475.1105 sürümünden önceki Mac istemcileri
  • 5.1.0 sürümü Zoom Rooms for Conference sürümleri

Source: Lockheed Martin Red Ekibi tarafından bildirilmiştir

ZSB-21004 09/30/2021 Zoom MSI Yükleyicide Bağlantı Kullanımı ile Yükseltilmiş Yazma Critical CVE-2021-34408

Severity: Critical

CVSS Score: 7.0

CVSS Vector String: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Description: 5.3.2 öncesi Windows için Zoom Client for Meetings sürümlerinin yüklenmesi sırasında oluşturulan ve kullanıcının yazım yapabildiği dizin, bir bağlantı kullanılarak başka bir konuma yönlendirilebilir. Bu durum, güvenlik saldırısını yapan kişinin normalde sınırlı yetkilere sahip bir kullanıcı tarafından değiştirilemeyecek dosyalar üzerine yazabilmesine olanak sağlar.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.3.2 öncesi Windows için Zoom Client for Meetings sürümleri

Source: Lockheed Martin Red Ekibi tarafından bildirilmiştir

ZSB-21003 09/30/2021 Windows Zoom Yükleyici Dijital İmza Atlama Critical CVE-2021-33907

Severity: Critical

CVSS Score: 7.0

CVSS Vector String: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H/MPR:N/MUI:R/MS:U/MC:H/MI:H/MA:H

Description: 5.3.0 öncesi tüm Windows için Zoom Client for Meetings sürümlerinde, istemci güncellenirken .msi dosyalarının imzalanması için kullanılan sertifika bilgileri düzgün şekilde doğrulanamıyor. Bu sorun, yükseltilmiş bir ayrıcalıklı bağlamda uzaktan kod yürütülebilmesine olanak verir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.3.0 öncesi tüm Windows için Zoom Client for Meetings sürümleri

Source: Lockheed Martin Red Ekibi tarafından bildirilmiştir

ZSB-21002 08/13/2021 XMPP mesajından statik arabellek işaretsiz yazımından yığın taşması Critical CVE-2021-30480

Severity: Critical

CVSS Score: 8.1

CVSS Vector String: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H

Description: Zoom Client for Meetings 5.6.3 sürümünden önceki tüm masaüstü sürümlerinde yığın tabanlı arabellek taşması mevcuttur. Bu Bulgu, 2021 Pwn20wn Vancouver'ın bir parçası olarak Zoom'a bildirilmiştir. Pwn20wn sırasında gösterilen saldırı zinciri, 04/09/2021'de Zoom'un altyapısındaki sunucu tarafındaki bir değişiklikle hafifletilmiştir.

Pwn20wn sırasında bildirilen diğer iki sorun - bir Zoom Mağazası uygulaması URL'sine erişmek için bir XMPP mesajı gönderirken uygunsuz URL doğrulaması ve bir GIPHY görüntüsü görüntülerken uygunsuz URL doğrulaması - ile birleştirildiğinde, kötü niyetli bir kullanıcı bir hedefin bilgisayarında uzaktan kod çalıştırmayı başarabilir.
Bu saldırının başarılı olması için hedefin daha önce kötü niyetli kullanıcıdan gelen bir Bağlantı İsteğini kabul etmiş olması veya kötü niyetli kullanıcıyla çok kullanıcılı bir sohbette bulunması gerekir. Pwn20wn'de gösterilen saldırı zinciri hedefler tarafından yüksek oranda görülebilir ve birden fazla istemci bildiriminin gerçekleşmesine neden olabilir.

Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • Zoom Client for Meetings 5.6.3'ten önceki tüm masaüstü sürümleri

Source: Computest'ten Daan Keuper ve Thijs Alkemade tarafından Zero Day Initiative aracılığıyla bildirildi

ZSB-21001 03/26/2021 Uygulama Penceresi Ekran Paylaşımı İşlevi Critical CVE-2021-28133

Severity: Critical

CVSS Score: 5.7

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

Description: Bir güvenlik açığı, tek tek uygulama pencerelerini paylaşırken Zoom Windows ve Linux İstemcilerinin paylaşım ekranı çalışmasını etkiledi, bu açıkta "paylaşan kişi" başka bir pencereyi küçültüyorsa, büyütüyorsa veya kapatıyorsa, ekranı paylaşan kullanıcılar tarafından açıkça paylaşılmayan uygulamaların ekran içeriği diğer toplantı katılımcıları tarafından kısa bir süre için görülebiliyor.

Zoom, Zoom Windows İstemcisi sürüm 5.6'da bu sorunun Windows kullanıcıları için oluşma olasılığını azaltan birkaç yeni güvenlik riski azaltıcı özellik getirdi. Etkilenen tüm platformlarda bu sorunu çözmek için ek önlemler üzerinde çalışmaya devam ediyoruz.

Zoom bu sorunu ayrıca 1 Mart 2021 tarihinde 5.5.4. Zoom Linux Client sürümünde Ubuntu kullanıcıları için de çözmüştür. Kullanıcılar mevcut güncellemeleri uygulayabilir veya https://zoom.us/download adresinden tüm mevcut güvenlik güncellemeleri ile en son Zoom yazılımını indirebilir.

Affected Products:

  • Tüm Windows Zoom İstemcisi sürümleri
  • Ubuntu'da 5.5.4'den önceki Linux Zoom İstemcisi sürümleri
  • Desteklenen diğer dağıtımlardaki tüm Linux İstemci sürümleri

Source: Michael Stramez ve Matthias Deeg tarafından keşfedildi.

ZSB-20002 08/14/2020 Zoom Paylaşım Hizmeti'ndeki Windows DLL Critical CVE-2020-9767

Severity: Critical

CVSS Score: 7.8

CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Description: Zoom Paylaşım Hizmeti'ne yüklenen Dinamik Bağlantı Kitaplığı ("DLL") ile ilgili bir güvenlik açığı, yerel bir Windows kullanıcısının ayrıcalıkları NT AUTHORITY/SYSTEM kullanıcısının ayrıcalıklarına yükseltebilmesine olanak verebilmektedir.

Güvenlik açığı, imzalı bir yürütülebilir dosya yüklenirken dinamik olarak yüklenen DLL'lerin imza denetimlerinin yetersizliği kaynaklıdır. Saldırgan, kötü amaçlı bir DLL'yi imzalı bir çalıştırılabilir Zoom dosyasına ekleyerek ve yükseltilmiş izinlere sahip işlemleri başlatmak için kullanarak bu güvenlik açığından yararlanabilir.

Zoom bu sorunu 5.0.4 istemci sürümünde ele almıştır. Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 5.0.4'den önceki Zoom Windows yükleyicisi (ZoomInstallerFull.msi) sürümleri

Source: Context Bilgi Güvenliği'nden Connor Scott

ZSB-20001 05/04/2020 Windows için Zoom BT Yükleyicisi Critical CVE-2020-11443

Severity: Critical

CVSS Score: Taban: 8.4

CVSS Vector String: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Description: Dosyaları silerken Zoom Windows yükleyicisinin birleşimleri işleme biçimindeki bir güvenlik açığı, yerel bir Windows kullanıcısının kullanıcı tarafından silinemez dosyaları silmesine izin verebilir.

Güvenlik açığı, yükleyicinin dosyaları sildiği, standart kullanıcılar tarafından yazılabilen dizindeki bağlantı noktalarının yetersiz denetlenmesinden kaynaklanır. Kötü niyetli bir yerel kullanıcı, etkilenen dizinde korumalı sistem dosyaları veya kullanıcının izinleri olmayan diğer dosyaları gösteren bir bağlantı oluşturarak bu güvenlik açığından yararlanabilir. Zoom Windows yükleyicisini yükseltilmiş izinlerle çalıştırdıktan sonra, yönetilen dağıtım yazılımı aracılığıyla çalıştırıldığında olduğu gibi, bu dosyalar sistemden silinir.

Zoom bu sorunu 4.6.10 istemci sürümünde ele almıştır. Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 4.6.10'dan önceki Zoom Windows yükleyicisi (ZoomInstallerFull.msi) sürümleri

Source: Lockheed Martin Kırmızı Ekibi sayesinde.

ZSB-19003 07/12/2019 ZoomOpener hayalet programı Critical CVE-2019-13567

Severity: Critical

CVSS Score: Taban: 7.5

CVSS Vector String: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Description: Zoom macOS istemcilerindeki bir güvenlik açığı, saldırganın kurbanın cihazına kötü amaçlı yazılım indirmesine olanak sağlayabilir.

Güvenlik açığı, yanlış giriş doğrulamasından ve ZoomOpener yardımcı uygulamasında karşıdan yüklenen yazılımın doğrulanmasından kaynaklanmaktadır. Saldırgan, bir kurbanın cihazından saldırgan adına dosya indirmesini istemek için bu güvenlik açığından yararlanabilir. Başarılı bir yetkisiz erişim ancak kurban daha önce Zoom İstemcisi'ni kaldırmışsa mümkündür.

Zoom bu sorunu 4.4.52595.0425 istemci sürümünde ele almıştır. Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 4.4.52595.0425 öncesi ve 4.1.27507.0627 sonrası Zoom macOS istemcisi sürümleri

Source: Bilinmiyor.

ZSB-19002 07/09/2019 Varsayılan Video Ayarı Critical CVE-2019-13450

Severity: Critical

CVSS Score: Taban: 3.1

CVSS Vector String: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

Description: macOS Zoom ve RingCentral istemcilerindeki bir güvenlik açığı, kimliği doğrulanmamış uzak bir saldırganın, kullanıcıyı video kamera etkinken görüntülü aramaya katılmaya zorlamasına izin verebilir.

Güvenlik açığı, hangi sistemlerin 19421 numaralı bağlantı noktasında çalışan yerel Zoom Web sunucusuyla iletişim kurabileceğini denetlemek için yeterli yetkilendirme denetiminin yetersizliği nedeniyledir. Saldırgan, Zoom istemcisi'nin saldırgan tarafından ayarlanan bir toplantıya otomatik olarak katılmasına neden olan kötü amaçlı bir web sitesi oluşturarak bu güvenlik açığından yararlanabilir.

Zoom, 14 Temmuz 2019'da yayınlanan İstemci sürümü 4.4.5'te, bir toplantıya katılmadan önce kullanıcıya sunulan yeni bir Video Önizleme iletişim kutusunu uygulamaya koydu. Bu iletişim kutusu, video etkin olsun veya olmasın kullanıcının toplantıya katılmasını sağlar ve kullanıcının video için istediği varsayılan davranışı ayarlamasını gerektirir. Zoom, müşterilerinden https://zoom.us/download adresinde bulunan en son Zoom İstemcisi sürümünü yüklemelerini istemektedir.

Affected Products:

  • 4.4.5 öncesi Zoom macOS İstemcisi sürümleri
  • 4.4.5 öncesi RingCentral macOS istemcisi sürümleri

Source: Jonathan Leitschuh tarafından geliştirildi.

ZSB-19001 07/09/2019 Hizmet reddi saldırısı - macOS Critical CVE-2019-13449

Severity: Critical

CVSS Score: Taban: 3.1

CVSS Vector String: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Description: macOS Zoom istemcisindeki bir güvenlik açığı; uzak, kimlik doğrulaması olmayan bir saldırganın kurbanın sisteminde hizmet reddi koşulu tetiklemesine izin verebilir.

Güvenlik açığı, hangi sistemlerin 19421 numaralı bağlantı noktasında çalışan yerel Zoom Web sunucusuyla iletişim kurabileceğini denetlemek için yeterli yetkilendirme denetiminin yetersizliği nedeniyledir. Saldırgan, Zoom istemcisinin geçersiz bir toplantı kimliğiyle toplantıya tekrar tekrar katılmaya çalışmasına neden olan kötü amaçlı bir web sitesi oluşturarak bu güvenlik açığından yararlanabilir. Sonsuz döngü, Zoom istemcisinin çalışmaz hale gelmesine neden olur ve çalıştığı sistemin performansını etkileyebilir.

Zoom, sorunu gidermek için 28 Nisan 2019'da macOS istemcisinin 4.4.2 düzeltmesini yayınladı. Kullanıcılar geçerli güncellemeleri uygulayarak veya https://zoom.us/download adresinden tüm geçerli güvenlik güncellemeleri ile en son Zoom yazılımını indirerek kendilerini güvende tutmaya yardımcı olabilir.

Affected Products:

  • 4.4.5 öncesi Zoom macOS İstemcisi sürümleri
  • 4.4.5 öncesi RingCentral macOS istemcisi sürümleri

Source: Jonathan Leitschuh tarafından geliştirildi.

No results found

Gelecekteki Zoom Güvenlik Bültenleri hakkında bildirim almak için lütfen bireysel e-posta adresinizi girin. (Not: E-posta takma isimleri bu bildirimleri almayacaktır.)