Bản tin bảo mật
Bản tin bảo mật
Zoom không cung cấp hướng dẫn về các tác động của lỗ hổng tới các khách hàng cá nhân do Bản tin bảo mật Zoom gây ra, cũng không cung cấp các thông tin chi tiết bổ sung về lỗ hổng. Chúng tôi khuyến nghị người dùng cập nhật lên phiên bản mới nhất của phần mềm Zoom để có được những bản vá lỗi và cải tiến bảo mật mới nhất.
| ZSB | Ngày | Tiêu đề | Mức độ nghiêm trọng | Lỗ hổng và rủi ro bảo mật (CVE) (nếu có) | |
|---|---|---|---|---|---|
|
|
ZSB-24008 | 02/13/2024 | Zoom Desktop Client cho Windows, Zoom VDI Client cho Windows và Zoom Meet SDK cho Windows - Xác thực đầu vào không đúng | Nghiêm trọng | CVE-2024-24691 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 9.6 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Mô tả: Việc xác thực đầu vào không đúng cách trong Zoom Desktop Client cho Windows, Zoom VDI Client cho Windows và Zoom Meet SDK cho Windows có thể cho phép người dùng chưa được xác thực tiến hành leo thang đặc quyền thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Báo cáo của Zoom Offensive Security. |
|||||
|
|
ZSB-24007 | 02/13/2024 | Zoom Clients - Xác thực đầu vào không đúng cách | Trung bình | CVE-2024-24690 |
|
Mức độ nghiêm trọng: Trung bình Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 5.4 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
Mô tả: Xác thực đầu vào không đúng cách ở một số máy khách Zoom có thể cho phép người dùng được xác thực thực hiện từ chối dịch vụ thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom. |
|||||
|
|
ZSB-24006 | 02/13/2024 | Zoom Clients - Lỗi logic nghiệp vụ | Trung bình | CVE-2024-24699 |
|
Mức độ nghiêm trọng: Trung bình Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 6.5 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Mô tả: Lỗi logic kinh doanh với tính năng trò chuyện trong cuộc họp đối với một số máy khách Zoom có thể cho phép người dùng được xác thực tiến hành tiết lộ thông tin thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom. |
|||||
|
|
ZSB-24005 | 02/13/2024 | Zoom Clients - Xác thực không đúng cách | Trung bình | CVE-2024-24698 |
|
Mức độ nghiêm trọng: Trung bình Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 4.9 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
Mô tả: Xác thực không đúng cách ở một số máy khách Zoom có thể cho phép người dùng đặc quyền tiến hành tiết lộ thông tin thông qua truy cập cục bộ. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom. |
|||||
|
|
ZSB-24004 | 02/13/2024 | Zoom Clients - Đường dẫn tìm kiếm không đáng tin cậy | Cao | CVE-2024-24697 |
|
Mức độ nghiêm trọng: Cao Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.2 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
Mô tả: Đường dẫn tìm kiếm không đáng tin cậy trong một số máy khách Windows Zoom 32 bit có thể cho phép người dùng được xác thực tiến hành báo cáo đặc quyền thông qua truy cập cục bộ. Các sản phẩm bị ảnh hưởng:
Nguồn: Được báo cáo bởi sim0nsecurity. |
|||||
|
|
ZSB-24003 | 02/13/2024 | Zoom Desktop Client cho Windows, Zoom VDI Client cho Windows và Zoom Meet SDK cho Windows - Xác thực đầu vào không đúng | Trung bình | CVE-2024-24696 |
|
Mức độ nghiêm trọng: Trung bình Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 6.8 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N
Mô tả: Xác thực đầu vào không đúng cách với tính năng trò chuyện trong cuộc họp cho Zoom Desktop Client cho Windows, Zoom VDI Client cho Windows và Zoom Meeting SDK cho Windows có thể cho phép người dùng được xác thực tiến hành tiết lộ thông tin thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Báo cáo của shmoul. |
|||||
|
|
ZSB-24002 | 02/13/2024 | Zoom Desktop Client cho Windows, Zoom VDI Client cho Windows và Zoom Meet SDK cho Windows - Xác thực đầu vào không đúng | Trung bình | CVE-2024-24695 |
|
Mức độ nghiêm trọng: Trung bình Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 6.8 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N
Mô tả: Xác thực đầu vào không đúng cách trong Zoom Desktop Client cho Windows, Zoom VDI Client cho Windows và Zoom Meeting SDK cho Windows có thể cho phép người dùng được xác thực tiến hành tiết lộ thông tin thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Báo cáo của shmoul. |
|||||
|
|
ZSB-24001 | 01/09/2024 | Zoom Desktop Client cho Windows, Zoom VDI Client cho Windows và Zoom SDK cho Windows- Kiểm soát truy cập không đúng cách | Nghiêm trọng | CVE-2023-49647 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 8.8 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Mô tả: Kiểm soát truy cập không đúng cách trong Zoom Desktop Client cho Windows, Zoom VDI Client cho Windows và Zoom SDK cho Windows trước phiên bản 5.16.10 có thể cho phép người dùng được xác thực tiến hành báo cáo đặc quyền thông qua truy cập cục bộ. Các sản phẩm bị ảnh hưởng:
Nguồn: Được báo cáo bởi sim0nsecurity. |
|||||
|
|
ZSB-23062 | 12/12/2023 | Zoom Clients - Xác thực không đúng cách | Nghiêm trọng | CVE-2023-49646 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 5.4 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
Mô tả: Xác thực không đúng cách ở một số máy khách Zoom trước phiên bản 5.16.5 có thể cho phép người dùng được xác thực tiến hành từ chối dịch vụ thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom. |
|||||
|
|
ZSB-23059 | 12/12/2023 | Zoom Desktop Client cho Windows, Zoom VDI Client cho Windows và Zoom SDK cho Windows - Path Traversal | Nghiêm trọng | CVE-2023-43586 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.3 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N
Mô tả: Truyền đường dẫn trong Zoom Desktop Client cho Windows, Zoom VDI Client cho Windows và Zoom SDK cho Windows có thể cho phép người dùng được xác thực tiến hành báo cáo đặc quyền thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Báo cáo của shmoul. |
|||||
|
|
ZSB-23058 | 12/12/2023 | Ứng dụng Zoom dành cho thiết bị di động dành cho iOS và SDK dành cho iOS - Kiểm soát truy cập không đúng cách | Nghiêm trọng | CVE-2023-43585 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.1 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L
Mô tả: Kiểm soát truy cập không đúng cách trong Ứng dụng di động Zoom dành cho iOS và Zoom SDK dành cho iOS trước phiên bản 5.16.5 có thể cho phép người dùng được xác thực tiến hành tiết lộ thông tin thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom. |
|||||
|
|
ZSB-23056 | 12/12/2023 | Ứng dụng di động Zoom dành cho Android, Ứng dụng di động Zoom dành cho iOS và Zoom SDK - Sự cố mật mã | Nghiêm trọng | CVE-2023-43583 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 4.9 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
Mô tả: Sự cố mật mã Ứng dụng di động Zoom dành cho Android, Ứng dụng di động Zoom dành cho iOS và Zoom SDK dành cho Android và iOS trước phiên bản 5.16.0 có thể cho phép người dùng đặc quyền tiến hành tiết lộ thông tin thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom. |
|||||
|
|
ZSB-23055 | 11/14/2023 | Zoom Clients - Ủy quyền không đúng cách | Nghiêm trọng | CVE-2023-43582 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 5.5 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L
Mô tả: Ủy quyền không đúng cách ở một số máy khách Zoom có thể cho phép người dùng được ủy quyền tiến hành báo cáo đặc quyền thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom. |
|||||
|
|
ZSB-23054 | 11/14/2023 | Phòng thu phóng cho macOS - Quản lý đặc quyền không đúng cách | Nghiêm trọng | CVE-2023-43591 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.8 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Mô tả: Quản lý đặc quyền không đúng cách trong Zoom Rooms cho macOS trước phiên bản 5.16.0 có thể cho phép người dùng được xác thực tiến hành báo cáo đặc quyền thông qua truy cập cục bộ. Các sản phẩm bị ảnh hưởng:
Nguồn: Báo cáo của Eugene Lim (spaceraccoon). |
|||||
|
|
ZSB-23053 | 11/14/2023 | Phòng thu phóng cho macOS - Theo liên kết | Nghiêm trọng | CVE-2023-43590 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.8 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Mô tả: Liên kết theo dõi trong Zoom Rooms dành cho macOS trước phiên bản 5.16.0 có thể cho phép người dùng đã xác thực tiến hành báo cáo đặc quyền thông qua quyền truy cập cục bộ. Các sản phẩm bị ảnh hưởng:
Nguồn: Báo cáo của Eugene Lim (spaceraccoon). |
|||||
|
|
ZSB-23052 | 11/14/2023 | Zoom Clients - Quản lý luồng kiểm soát không đủ | Nghiêm trọng | CVE-2023-43588 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 3.5 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N
Mô tả: Quản lý luồng kiểm soát không đầy đủ ở một số máy khách Zoom có thể cho phép người dùng được xác thực tiến hành tiết lộ thông tin thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom. |
|||||
|
|
ZSB-23051 | 11/14/2023 | ZoomClients - Vấn đề mật mã | Nghiêm trọng | CVE-2023-39199 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 4.9 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
Mô tả: Các vấn đề về mật mã với Trò chuyện trong cuộc họp đối với một số máy khách Zoom có thể cho phép người dùng đặc quyền tiến hành tiết lộ thông tin thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom. |
|||||
|
|
ZSB-23050 | 11/14/2023 | Máy khách Zoom - Tràn bộ nhớ đệm | Nghiêm trọng | CVE-2023-39206 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 3.7 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L
Mô tả: Tràn bộ đệm ở một số máy khách Zoom có thể cho phép người dùng chưa được xác thực thực hiện từ chối dịch vụ thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom. |
|||||
|
|
ZSB-23049 | 11/14/2023 | Zoom Clients - Kiểm tra điều kiện không phù hợp | Nghiêm trọng | CVE-2023-39205 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 4.3 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Mô tả: Kiểm tra các điều kiện không phù hợp trong Zoom Team Chat dành cho khách hàng Zoom có thể cho phép người dùng được xác thực thực hiện từ chối dịch vụ thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom. |
|||||
|
|
ZSB-23048 | 11/14/2023 | Máy khách Zoom - Tràn bộ nhớ đệm | Nghiêm trọng | CVE-2023-39204 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 4.3 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L
Mô tả: Tràn bộ đệm ở một số máy khách Zoom có thể cho phép người dùng chưa được xác thực thực hiện từ chối dịch vụ thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom. |
|||||
|
|
ZSB-23047 | 11/14/2023 | Zoom Desktop Client dành cho Windows và Zoom VDI Client - Tiêu thụ tài nguyên không được kiểm soát | Nghiêm trọng | CVE-2023-39203 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 4.3 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L
Mô tả: Xác thực đầu vào không đúng cách trong Zoom Desktop Client cho Windows, Zoom VDI Client cho Windows và Zoom Meeting SDK cho Windows có thể cho phép người dùng được xác thực tiến hành tiết lộ thông tin thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Báo cáo của shmoul. |
|||||
|
|
ZSB-23046 | 11/14/2023 | Zoom Rooms cho Windows - Đường dẫn tìm kiếm không đáng tin cậy | Nghiêm trọng | CVE-2023-39202 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 3.1 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:L
Mô tả: Đường dẫn tìm kiếm không đáng tin cậy trong Zoom Rooms Client cho Windows và Zoom VDI Client có thể cho phép người dùng đặc quyền thực hiện từ chối dịch vụ thông qua truy cập cục bộ. Các sản phẩm bị ảnh hưởng:
Nguồn: Được báo cáo bởi sim0nsecurity. |
|||||
|
|
ZSB-23045 | 09/12/2023 | CleanZoom - Đường dẫn tìm kiếm không đáng tin cậy | Nghiêm trọng | CVE-2023-39201 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.2 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
Mô tả: Đường dẫn tìm kiếm không đáng tin cậy trong CleanZoom trước ngày tệp 24/07/2023 có thể cho phép người dùng đặc quyền tiến hành báo cáo đặc quyền thông qua quyền truy cập cục bộ. Các sản phẩm bị ảnh hưởng:
Nguồn: Được báo cáo bởi sim0nsecurity. |
|||||
|
|
ZSB-23043 | 09/12/2023 | Zoom Desktop Client dành cho Linux - Xác thực đầu vào không đúng cách | Nghiêm trọng | CVE-2023-39208 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 6.5 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
Mô tả: Xác thực đầu vào không đúng cách trong Zoom Desktop Client cho Linux trước phiên bản 5.15.10 có thể cho phép người dùng chưa được xác thực thực hiện từ chối dịch vụ thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Người báo cáo: Antoine Roly (aroly) |
|||||
|
|
ZSB-23040 | 09/12/2023 | Zoom Clients - Xác thực không đúng cách | Nghiêm trọng | CVE-2023-39215 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.1 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:H
Mô tả: Xác thực không đúng cách trong các máy khách Zoom có thể cho phép người dùng được xác thực thực hiện từ chối dịch vụ thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom. |
|||||
|
|
ZSB-23041 | 08/08/2023 | Máy khách Zoom dành cho máy tính cho Windows - Xác thực sai đầu vào | Nghiêm trọng | CVE-2023-39209 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 5.9 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L
Mô tả: Xác thực sai đầu vào trong Máy khách Zoom dành cho máy tính cho Windows trước phiên bản 5.15.5 có thể cho phép người dùng đã xác thực thực hiện tiết lộ thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom. |
|||||
|
|
ZSB-23039 | 08/08/2023 | Zoom Client - Tiếp xúc với thông tin nhạy cảm | Nghiêm trọng | CVE-2023-39214 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.6 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H
Mô tả: Việc lộ thông tin nhạy cảm trong SDK máy khách Zoom trước phiên bản 5.15.5 có thể cho phép người dùng đã xác thực từ chối dịch vụ thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom. |
|||||
|
|
ZSB-23038 | 08/08/2023 | Máy khách Zoom dành cho máy tính cho Windows và máy khách Zoom VDI - Vô hiệu hóa sai các thành phần đặc biệt | Nghiêm trọng | CVE-2023-39213 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 9.6 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Mô tả: Việc vô hiệu hóa không đúng cách các yếu tố đặc biệt trong Zoom Desktop Client cho Windows và Zoom VDI Client có thể cho phép người dùng chưa được xác thực cho phép leo thang đặc quyền thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom. |
|||||
|
|
ZSB-23037 | 08/08/2023 | Zoom Rooms cho Windows - Đường dẫn tìm kiếm không đáng tin cậy | Nghiêm trọng | CVE-2023-39212 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.9 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H
Mô tả: Đường dẫn tìm kiếm không đáng tin cậy trong Zoom Rooms cho Windows trước phiên bản 5.15.5 có thể cho phép người dùng đã xác thực từ chối dịch vụ thông qua truy cập cục bộ. Các sản phẩm bị ảnh hưởng:
Nguồn: Được báo cáo bởi sim0nsecurity. |
|||||
|
|
ZSB-23036 | 08/08/2023 | Máy khách Zoom dành cho máy tính cho Windows và Zoom Rooms cho Windows - Quản lý quyền không đúng cách | Nghiêm trọng | CVE-2023-39211 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 8.8 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Mô tả: Quản lý quyền không đúng cách trong Máy khách Zoom dành cho máy tính cho Windows và Zoom Rooms cho Windows trước phiên bản 5.15.5 có thể cho phép người dùng đã xác thực thực hiện tiết lộ thông tin thông qua truy cập cục bộ. Các sản phẩm bị ảnh hưởng:
Nguồn: Được báo cáo bởi sim0nsecurity. |
|||||
|
|
ZSB-23035 | 08/08/2023 | SDK máy khách Zoom cho Windows - Xóa văn bản lưu trữ thông tin nhạy cảm | Nghiêm trọng | CVE-2023-39210 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 5.5 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Mô tả: Xóa văn bản lưu trữ thông tin nhạy cảm trong SDK Máy khách Zoom cho Windows trước phiên bản 5.15.0 có thể cho phép người dùng đã xác thực thực hiện tiết lộ thông tin thông qua truy cập cục bộ. Các sản phẩm bị ảnh hưởng:
Nguồn: Được báo cáo bởi sim0nsecurity. |
|||||
|
|
ZSB-23034 | 08/08/2023 | Máy khách Zoom - Thực thi bảo mật từ phía máy chủ trên máy khách | Nghiêm trọng | CVE-2023-39218 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 6.5 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
Mô tả: Việc thực thi bảo mật từ phía máy chủ trên máy khách cho các máy khách Zoom trước phiên bản 5.14.10 có thể cho phép người dùng có đặc quyền tiết lộ thông tin qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom. |
|||||
|
|
ZSB-23033 | 08/08/2023 | Zoom Client - Xác thực đầu vào không đúng cách | Nghiêm trọng | CVE-2023-39217 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 5.3 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Mô tả: Xác thực sai đầu vào trong SDK Zoom trước phiên bản 5.14.10 có thể cho phép người dùng chưa được xác thực từ chối dịch vụ thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom. |
|||||
|
|
ZSB-23032 | 08/08/2023 | Máy khách Zoom dành cho máy tính cho Windows - Xác thực sai đầu vào | Nghiêm trọng | CVE-2023-39216 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 9.6 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Mô tả: Xác thực sai đầu vào trong Máy khách Zoom dành cho máy tính cho Windows trước phiên bản 5.14.7 có thể cho phép người dùng chưa được xác thực thực hiện việc tăng cấp quyền thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom. |
|||||
|
|
ZSB-23031 | 08/08/2023 | Máy khách Zoom - Thực thi bảo mật từ phía máy chủ trên máy khách | Nghiêm trọng | CVE-2023-36535 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.1 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L
Mô tả: Thực thi bảo mật từ phía máy chủ trên máy khách cho máy khách Zoom trước phiên bản 5.14.10 có thể cho phép người dùng đã xác thực thực hiện tiết lộ thông tin thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom. |
|||||
|
|
ZSB-23030 | 08/08/2023 | Máy khách Zoom dành cho máy tính cho Windows - Tấn công truyền qua đường dẫn | Nghiêm trọng | CVE-2023-36534 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 9.3 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H
Mô tả: Tấn công truyền qua đường dẫn trong Máy khách Zoom dành cho máy tính cho Windows trước phiên bản 5.14.7 có thể cho phép người dùng chưa được xác thực thực hiện việc tăng cấp quyền thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom. |
|||||
|
|
ZSB-23029 | 08/08/2023 | SDK Zoom - Sử dụng tài nguyên chưa được kiểm soát | Nghiêm trọng | CVE-2023-36533 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.1 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H
Mô tả: Sử dụng tài nguyên chưa được kiểm soát trong SDK Zoom trước phiên bản 5.14.7 có thể cho phép người dùng chưa được xác thực từ chối dịch vụ thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom. |
|||||
|
|
ZSB-23028 | 08/08/2023 | Máy khách Zoom - Tràn bộ nhớ đệm | Nghiêm trọng | CVE-2023-36532 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 5.9 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Mô tả: Tràn bộ nhớ đệm trong máy khách Zoom trước phiên bản 5.14.5 có thể cho phép người dùng chưa được xác thực từ chối dịch vụ thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom. |
|||||
|
|
ZSB-23027 | 08/08/2023 | Máy khách Zoom dành cho máy tính cho Windows - Xác minh không đầy đủ tính xác thực của dữ liệu | Nghiêm trọng | CVE-2023-36541 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 8 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Mô tả: Xác minh không đầy đủ tính xác thực của dữ liệu trong Máy khách Zoom dành cho máy tính cho Windows trước phiên bản 5.14.5 có thể cho phép người dùng đã xác thực thực hiện việc tăng cấp quyền thông qua truy cập mạng. Các sản phẩm bị ảnh hưởng:
Nguồn: Được báo cáo bởi sim0nsecurity. |
|||||
|
|
ZSB-23026 | 08/08/2023 | Máy khách Zoom dành cho máy tính cho Windows - Đường dẫn tìm kiếm không đáng tin cậy | Nghiêm trọng | CVE-2023-36540 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.3 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L
Mô tả: Đường dẫn tìm kiếm không đáng tin cậy trong trình cài đặt cho Máy khách Zoom dành cho máy tính cho Windows trước phiên bản 5.14.5 có thể cho phép người dùng đã xác thực thực hiện việc tăng cấp quyền thông qua truy cập cục bộ. Các sản phẩm bị ảnh hưởng:
Nguồn: Được báo cáo bởi sim0nsecurity. |
|||||
|
|
ZSB-23024 | 07/11/2023 | Kiểm soát truy cập không đúng cách | Nghiêm trọng | CVE-2023-36538 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 8.4 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H
Mô tả: Việc kiểm soát truy cập không đúng cách trong Zoom Rooms dành cho Windows trước phiên bản 5.15.0 có thể cho phép người dùng được xác thực thực hiện việc tăng cấp quyền thông qua truy cập cục bộ. Các sản phẩm bị ảnh hưởng:
Nguồn: Được báo cáo bởi sim0nsecurity. |
|||||
|
|
ZSB-23023 | 07/11/2023 | Quản lý quyền không đúng cách | Nghiêm trọng | CVE-2023-36537 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.3 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L
Mô tả: Quản lý quyền không đúng cách trong Zoom Rooms dành cho Windows trước phiên bản 5.14.5 có thể cho phép người dùng được xác thực thực hiện việc tăng cấp quyền thông qua truy cập cục bộ. Các sản phẩm bị ảnh hưởng:
Nguồn: Được báo cáo bởi sim0nsecurity |
|||||
|
|
ZSB-22033 | 01/06/2023 | Tấn công truyền qua đường dẫn trong máy khách Zoom for Android | Nghiêm trọng | CVE-2022-36928 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 6.1 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
Mô tả: Các phiên bản máy khách Zoom for Android trước 5.13.0 có chứa lỗ hổng tấn công truyền qua đường dẫn. Ứng dụng bên thứ ba có thể lợi dụng lỗ hổng này để đọc và ghi vào thư mục dữ liệu ứng dụng Zoom. Các sản phẩm bị ảnh hưởng:
Nguồn: Theo báo cáo của Dimitrios Valsamaras tại Microsoft |
|||||
|
|
ZSB-22032 | 01/06/2023 | Tăng quyền cục bộ trong máy khách Zoom Rooms cho macOS | Nghiêm trọng |
CVE-2022-36926 CVE-2022-36927 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 8.8 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Mô tả: Các phiên bản máy khách Zoom Rooms cho macOS trước 5.11.3 có chứa lỗ hổng tăng quyền cục bộ. Người dùng cục bộ có đặc quyền thấp có thể khai thác lỗ hổng này để gia tăng đặc quyền của họ đến mức triệt để. Các sản phẩm bị ảnh hưởng:
Nguồn: Theo báo cáo của Kirin (Pwnrin) |
|||||
|
|
ZSB-22031 | 01/06/2023 | Tạo khóa không an toàn cho máy khách Zoom Rooms cho macOS | Nghiêm trọng | CVE-2022-36925 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 4.4 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
Mô tả: Các phiên bản máy khách Zoom Rooms cho macOS trước 5.11.4 có chứa cơ chế tạo khóa không an toàn. Khóa mã hóa được dùng cho Giao tiếp liên quy trình (IPC) giữa dịch vụ trình nền Zoom Rooms và máy khách Zoom Rooms được tạo bằng cách sử dụng các tham số mà ứng dụng cục bộ có ít quyền có thể có được. Sau đó, khóa này có thể được dùng để tương tác với dịch vụ trình nền nhằm thực thi các chức năng được trao quyền và gây ra tình trạng từ chối dịch vụ cục bộ. Các sản phẩm bị ảnh hưởng:
Nguồn: Theo báo cáo của Kirin (Pwnrin) |
|||||
|
|
ZSB-22030 | 11/15/2022 | Gia tăng quyền cục bộ trong Trình cài đặt Zoom Rooms dành cho Windows | Nghiêm trọng | CVE-2022-36924 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 8.8 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Mô tả: Trình cài đặt Zoom Rooms dành cho Windows trước phiên bản 5.12.6 có chứa lỗ hổng leo thang đặc quyền cục bộ. Một người dùng cục bộ có quyền thấp có thể khai thác lỗ hổng này trong quá trình cài đặt để gia tăng quyền của họ đối với người dùng HỆ THỐNG. Các sản phẩm bị ảnh hưởng:
Nguồn: Được báo cáo bởi sim0nsecurity |
|||||
|
|
ZSB-22029 | 11/15/2022 | Gia tăng quyền cục bộ trong Trình cài đặt máy khách Zoom dành cho macOS | Nghiêm trọng | CVE-2022-28768 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 8.8 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Mô tả: Trình cài đặt Zoom Client for Meetings dành cho macOS (Bản tiêu chuẩn và bản dành cho Quản trị viên CNTT) trước phiên bản 5.12.6 chứa lỗ hổng gia tăng quyền cục bộ. Người dùng cục bộ có quyền thấp có thể khai thác lỗ hổng này trong quá trình cài đặt để gia tăng quyền của họ nhằm scan thiệp trực tiếp vào hệ thống. Các sản phẩm bị ảnh hưởng:
Nguồn: Được báo cáo bởi Koh M. Nakagawa (tsunekoh) |
|||||
|
|
ZSB-22027 | 11/15/2022 | Chèn DLL vào Máy khách Zoom dành cho Windows | Nghiêm trọng | CVE-2022-28766 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 8.1 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L
Mô tả: Các phiên bản Windows 32 bit của Zoom Client for Meetings trước phiên bản 5.12.6 và Zoom Rooms cho phòng hội nghị trước phiên bản 5.12.6 dễ bị lỗ hổng về việc chèn DLL. Người dùng cục bộ có quyền thấp có thể khai thác lỗ hổng này để chạy mã tùy ý trong phạm vi của máy khách Zoom. Các sản phẩm bị ảnh hưởng:
Nguồn: Được báo cáo bởi sim0nsecurity |
|||||
|
|
ZSB-22025 | 11/10/2022 | Lộ thông tin cục bộ trong máy khách Zoom | Nghiêm trọng | CVE-2022-28764 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 3.3 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Mô tả: Zoom Client for Meetings (dành cho Android, iOS, Linux, macOS và Windows) trước phiên bản 5.12.6 bị lỗ hổng lộ thông tin cục bộ. Các sản phẩm bị ảnh hưởng:
Nguồn: Được báo cáo bởi Christian Zäske từ SySS GmbH |
|||||
|
|
ZSB-22024 | 10/24/2022 | Phân tích cú pháp cho URL không đúng cách trong các Máy khách Zoom | Nghiêm trọng | CVE-2022-28763 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 8.8 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Mô tả: Zoom Client for Meetings (dành cho Android, iOS, Linux, macOS và Windows) trước phiên bản 5.12.2 bị lỗ hổng phân tích cú pháp URL. Nếu một URL độc hại của cuộc họp Zoom được mở, liên kết độc hại này có thể hướng người dùng kết nối với một địa chỉ mạng tùy ý, dẫn đến những cuộc tấn công khác bao gồm cả việc kiểm soát phiên họp. Các sản phẩm bị ảnh hưởng:
Nguồn: Được báo cáo bởi Nhóm bảo mật Zoom |
|||||
|
|
ZSB-22023 | 10/11/2022 | Cấu hình sai cổng gỡ lỗi trong Zoom Apps trong Zoom Client for Meetings dành cho macOS | Nghiêm trọng | CVE-2022-28762 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.3 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
Mô tả: Zoom Client for Meetings dành cho macOS (bản Tiêu chuẩn và bản dành cho Quản trị viên CNTT) bắt đầu từ phiên bản 5.10.6 và trước phiên bản 5.12.0 chứa cấu hình sai cổng gỡ lỗi. Khi chạy một số Zoom Apps nhất định dẫn đến bật ngữ cảnh kết xuất chế độ camera như một phần của Giao diện lập trình ứng dụng của Lớp ứng dụng Zoom, máy khách Zoom sẽ mở cổng gỡ lỗi cục bộ. Người dùng độc hại cục bộ có thể sử dụng cổng gỡ lỗi này để kết nối và kiểm soát Zoom Apps đang chạy trong máy khách Zoom. Các sản phẩm bị ảnh hưởng:
Nguồn: Được báo cáo bởi Nhóm bảo mật Zoom |
|||||
|
|
ZSB-22022 | 10/11/2022 | Triển khai Zoom Tại chỗ: Kiểm soát truy cập không đúng cách | Nghiêm trọng | CVE-2022-28761 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 6.5 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Mô tả: Bộ định tuyến đa phương tiện cho trình kết nối cuộc họp Zoom tại chỗ trước phiên bản 4.8.20220916.131 có chứa lỗ hổng về việc kiểm soát truy cập không đúng cách. Do đó, tội phạm công nghệ cao trong cuộc họp hoặc hội thảo trực tuyến mà họ được phép tham gia có thể ngăn người tham gia nhận được âm thanh và video, gây gián đoạn cuộc họp. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom |
|||||
|
|
ZSB-22021 | 09/13/2022 | Triển khai Zoom Tại chỗ: Kiểm soát truy cập không đúng cách | Nghiêm trọng | CVE-2022-28760 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 6.5 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Mô tả: Bộ định tuyến đa phương tiện cho Trình kết nối cuộc họp Zoom tại chỗ trước phiên bản 4.8.20220815.130 chứa lỗ hổng kiểm soát truy cập không đúng cách. Kết quả là tội phạm công nghệ cao không chỉ có thể tham gia cuộc họp mà họ được phép tham gia mà còn không cần xuất hiện với những người tham gia khác. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom |
|||||
|
|
ZSB-22020 | 09/13/2022 | Triển khai Zoom Tại chỗ: Kiểm soát truy cập không đúng cách | Nghiêm trọng |
CVE-2022-28758 CVE-2022-28759 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 8.2 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Mô tả: Bộ định tuyến đa phương tiện cho Trình kết nối cuộc họp Zoom tại chỗ trước phiên bản 4.8.20220815.130 chứa lỗ hổng kiểm soát truy cập không đúng cách. Kết quả, tội phạm công nghệ cao có thể lấy được nguồn cấp dữ liệu âm thanh và video của một cuộc họp mà họ không được phép tham gia và gây gián đoạn các cuộc họp khác. Các sản phẩm bị ảnh hưởng:
Nguồn: Được báo cáo bởi Nhóm bảo mật Zoom |
|||||
|
|
ZSB-22019 | 08/17/2022 | Gia tăng quyền cục bộ cho Trình cập nhật tự động của Zoom Client for Meetings dành cho macOS | Nghiêm trọng | CVE-2022-28757 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 8.8 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Mô tả: Zoom Client for Meetings dành cho macOS (bản Tiêu chuẩn và bản dành cho Quản trị viên CNTT) từ phiên bản 5.7.3 trở lên và trước phiên bản 5.11.6 có chứa lỗ hổng trong quá trình cập nhật tự động. Người dùng cục bộ có đặc quyền thấp có thể khai thác lỗ hổng này để gia tăng đặc quyền của họ đến mức triệt để. Các sản phẩm bị ảnh hưởng:
Nguồn: Được báo cáo bởi Csaba Fitzl (theevilbit) thuộc Bảo mật tấn công |
|||||
|
|
ZSB-22018 | 08/13/2022 | Gia tăng quyền cục bộ cho Trình cập nhật tự động cho các sản phẩm Zoom dành cho macOS [Updated 2022-09-13] | Nghiêm trọng | CVE-2022-28756 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 8.8 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Mô tả: Zoom Client for Meetings dành cho macOS (bản Tiêu chuẩn và bản dành cho Quản trị viên CNTT) từ phiên bản 5.7.3 trở lên và trước phiên bản 5.11.5 và Zoom Rooms cho phòng hội nghị dành cho macOS trước phiên bản 5.11.6 có chứa lỗ hổng trong quá trình cập nhật tự động. Người dùng cục bộ có đặc quyền thấp có thể khai thác lỗ hổng này để gia tăng đặc quyền của họ đến mức triệt để. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Patrick Wardle thuộc Objective-See |
|||||
|
|
ZSB-22017 | 08/09/2022 | Gia tăng quyền cục bộ trong Zoom Client for Meetings dành cho macOS | Nghiêm trọng | CVE-2022-28751 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 8.8 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Mô tả: Zoom Client for Meetings dành cho macOS (gói Tiêu chuẩn và dành cho Quản trị viên CNTT) trước phiên bản 5.11.3 chứa lỗ hổng về xác thực chữ ký gói trong quá trình cập nhật. Người dùng cục bộ có đặc quyền thấp có thể khai thác lỗ hổng này để gia tăng đặc quyền của họ đến mức triệt để. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Patrick Wardle thuộc Objective-See |
|||||
|
|
ZSB-22014 | 08/09/2022 | Triển khai Zoom Tại chỗ: Kiểm soát truy cập không đúng cách | Nghiêm trọng |
CVE-2022-28753 CVE-2022-28754 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.1 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N
Mô tả: Bộ định tuyến đa phương tiện cho Trình kết nối cuộc họp Zoom tại chỗ trước phiên bản 4.8.129.20220714 chứa một lỗ hổng kiểm soát truy cập không đúng cách. Kết quả là tội phạm công nghệ cao không chỉ có thể tham gia cuộc họp mà họ được phép tham gia mà còn không cần xuất hiện với những người tham gia khác. Họ có thể tự cho mình vào cuộc họp từ phòng chờ, cũng có thể trở thành người chủ trì và gây gián đoạn các cuộc họp khác. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom |
|||||
|
|
ZSB-22016 | 08/09/2022 | Phân tích cú pháp cho URL không đúng cách trong các Máy khách Zoom [Updated 2022-10-24] | Nghiêm trọng | CVE-2022-28755 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 9.6 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Mô tả: Zoom Client for Meetings (dành cho Android, iOS, Linux, macOS và Windows) trước phiên bản 5.11.0 dễ bị lỗ hổng phân tích cú pháp URL. Nếu một url độc hại của cuộc họp Zoom được mở, liên kết độc hại này có thể hướng người dùng kết nối với một địa chỉ mạng tùy ý, dẫn đến những cuộc tấn công khác bao gồm khả năng thực thi mã từ xa thông qua việc khởi chạy các tệp có thể thực thi được từ những đường dẫn tùy ý. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom |
|||||
|
|
ZSB-22012 | 08/09/2022 | Triển khai Zoom Tại chỗ: Tràn bộ nhớ đệm ngăn xếp trong trình kết nối cuộc họp | Nghiêm trọng | CVE-2022-28750 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.5 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Mô tả: Trình điều khiển vùng (ZC) của trình kết nối cuộc họp Zoom tại chỗ trước phiên bản 4.8.20220419.112 không phân tích đúng cú pháp mã lỗi STUN. Điều này có thể dẫn đến hỏng bộ nhớ và cho phép tội phạm công nghệ cao gây sự cố ứng dụng thoát đột ngột. Trong các phiên bản cũ hơn 4.8.12.20211115, lỗ hổng này cũng có thể được tận dụng để thực thi mã tùy ý. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom |
|||||
|
|
ZSB-22011 | 06/14/2022 | Kiểm tra ủy quyền không đầy đủ trong quá trình tham gia cuộc họp | Nghiêm trọng | CVE-2022-28749 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 6.5 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Mô tả: Bộ định tuyến đa phương tiện dành cho Trình kết nối cuộc họp tại chỗ của Zoom trước phiên bản 4.8.113.20220526 không kiểm tra đúng quyền cho phép của người dự thính cuộc họp Zoom. Hậu quả là kẻ xấu trong phòng chờ của Zoom có thể tham gia cuộc họp mà chưa được người chủ trì cho phép. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nhóm bảo mật tấn công của Zoom |
|||||
|
|
ZSB- 22010 | 06/14/2022 | Chèn DLL vào trình cài đặt Zoom Opener đối với Zoom và thiết bị Zoom Rooms | Nghiêm trọng | CVE-2022-22788 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.1 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
Mô tả: Người dùng tải trình cài đặt Zoom Opener xuống từ trang Khởi chạy cuộc họp, để tham gia cuộc họp mà không cần cài đặt Máy khách Zoom Meeting. Trình cài đặt Zoom Opener cho Zoom Client for Meetings trước phiên bản 5.10.3 và Zoom Rooms dành cho phòng hội nghị đối với Windows trước phiên bản 5.10.3 dễ bị tấn công bằng hình thức chèn DLL. Lỗ hổng này có nguy cơ bị lợi dụng để thực thi mã tùy ý trên máy chủ của nạn nhân. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi James Tsz Ko Yeung |
|||||
|
|
ZSB-22009 | 05/17/2022 | Xác thực tên máy chủ không đầy đủ khi đang chuyển đổi máy chủ trong Zoom Client for Meetings | Nghiêm trọng | CVE-2022-22787 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 5.9 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L
Mô tả: Zoom Client for Meetings (đối với Android, iOS, Linux, macOS và Windows) trước phiên bản 5.10.0 không xác thực đúng tên máy chủ trong quá trình yêu cầu chuyển đổi máy chủ. Vấn đề này có thể bị lợi dụng trong cuộc tấn công tinh vi hơn để đánh lừa máy khách của người dùng kết nối với máy chủ độc hại khi đang thử sử dụng dịch vụ Zoom mà họ không hề nghi ngờ. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Ivan Fratric từ Google Project Zero |
|||||
|
|
ZSB-22008 | 05/17/2022 | Hạ cấp gói cập nhật trong Zoom Client for Meetings dành cho Windows | Nghiêm trọng | CVE-2022-22786 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.5 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Mô tả: Zoom Client for Meetings đối với Windows trước phiên bản 5.10.0 và Zoom Rooms dành cho phòng hội nghị đối với Windows trước phiên bản 5.10.0 không kiểm tra đúng phiên bản cài đặt trong quá trình cập nhật. Vấn đề này có thể bị lợi dụng trong cuộc tấn công tinh vi hơn để đánh lừa người dùng hạ cấp máy khách Zoom của họ xuống phiên bản kém an toàn hơn. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Ivan Fratric từ Google Project Zero |
|||||
|
|
ZSB-22007 | 05/17/2022 | Các cookie phiên bị giới hạn không đúng cách trong Zoom Client for Meetings | Nghiêm trọng | CVE-2022-22785 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 5.9 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L
Mô tả: Zoom Client for Meetings (đối với Android, iOS, Linux, macOS và Windows) trước phiên bản 5.10.0 không giới hạn đúng các cookie phiên của client tới miền Zoom. Vấn đề này có thể bị lợi dụng trong cuộc tấn công tinh vi hơn để gửi các cookie phiên trong phạm vi Zoom của người dùng đến một miền không phải Zoom. Điều này có thể cho phép giả mạo người dùng Zoom. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Ivan Fratric từ Google Project Zero |
|||||
|
|
ZSB- 22006 | 05/17/2022 | Phân tích XML không đúng cách trong Zoom Client for Meetings | Nghiêm trọng | CVE-2022-22784 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 8.1 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Mô tả: Zoom Client for Meetings (đối với Android, iOS, Linux, macOS và Windows) trước phiên bản 5.10.0 không phân tích đúng các đơn vị XML trong tin nhắn XMPP. Điều này có thể cho phép người dùng độc hại thoát khỏi ngữ cảnh tin nhắn XMPP hiện tại và tạo ngữ cảnh tin nhắn mới để yêu cầu máy khách của người nhận thực hiện nhiều hành động khác nhau. Vấn đề này có thể bị lợi dụng trong một cuộc tấn công tinh vi hơn để giả mạo tin nhắn XMPP từ máy chủ. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Ivan Fratric từ Google Project Zero |
|||||
|
|
ZSB- 22005 | 04/27/2022 | Lộ diện bộ nhớ tiến trình trong dịch vụ Cuộc họp tại chỗ Zoom | Nghiêm trọng | CVE-2022-22783 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 8.3 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/CR:H
Mô tả: Lỗ hổng trong Trình điều khiển trình kết nối cuộc họp tại chỗ Zoom phiên bản 4.8.102.20220310 và MMR (bộ định tuyến đa phương tiện của Zoom) cho Trình kết nối cuộc họp tại chỗ phiên bản 4.8.102.20220310 lộ diện các đoạn bộ nhớ tiến trình với máy khách đã kết nối. Điều này có thể được quan sát bởi một kẻ tấn công thụ động. Các sản phẩm bị ảnh hưởng:
Nguồn: Nhóm bảo mật tấn công của Zoom |
|||||
|
|
ZSB-22004 | 04/27/2022 | Gia tăng quyền cục bộ trong Máy khách Zoom dành cho Windows | Nghiêm trọng | CVE-2022-22782 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.9 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H
Mô tả: Zoom Client for Meetings dành cho Windows trước phiên bản 5.9.7, Zoom Rooms dành cho phòng hội nghị đối với Windows trước phiên bản 5.10.0, Plugin Zoom dành cho Microsoft Outlook đối với Windows trước phiên bản 5.10.3, và Máy khách Zoom VDI Windows Meeting trước phiên bản 5.9.6; dễ bị ảnh hưởng bởi vấn đề gia tăng quyền cục bộ trong quá trình vận hành sửa chữa của trình cài đặt. Tội phạm công nghệ cao tận dụng điều này để có thể xóa các tệp hoặc thư mục cấp hệ thống, từ đó gây ra vấn đề về tính toàn vẹn hoặc tính sẵn sàng trên máy chủ của người dùng. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Sáng kiến Zero Day |
|||||
|
|
ZSB-22003 | 04/27/2022 | Cập nhật hạ cấp gói trong Zoom Client for Meetings dành cho MacOS | Nghiêm trọng | CVE-2022-22781 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.5 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Mô tả: Zoom Client for Meetings dành cho MacOS (gói Tiêu chuẩn và dành cho Quản trị viên CNTT) trước phiên bản 5.9.6 đã không kiểm tra đúng phiên bản gói trong quá trình cập nhật. Điều này có thể dẫn đến việc tội phạm công nghệ cao cập nhật phiên bản kém an toàn hơn cho phiên bản hiện đang được cài đặt của người dùng mà họ không hề nghi ngờ. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Patrick Wardle thuộc Objective-See |
|||||
|
|
ZSB-22002 | 02/08/2022 | Zoom Team Chat dễ bị tấn công bởi Zip bomb | Nghiêm trọng | CVE-2022-22780 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 4.7 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L
Mô tả: Chức năng trò chuyện trong Zoom Client for Meetings dễ bị tấn công bằng Zip bomb trong các phiên bản sản phẩm sau đây: Android trước phiên bản 5.8.6, iOS trước phiên bản 5.9.0, Linux trước phiên bản 5.8.6, macOS trước phiên bản 5.7.3, và Windows trước phiên bản 5.6.3. Điều này có thể dẫn đến vấn đề về tính khả dụng của máy chủ máy khách bằng cách làm cạn kiệt tài nguyên hệ thống. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Johnny Yu từ Walmart Global Tech |
|||||
|
|
ZSB-22001 | 02/08/2022 | Lưu giữ tin nhắn tự hủy trong các phiên bản máy khách Keybase cho macOS và Windows | Nghiêm trọng | CVE-2022-22779 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 3.7 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Mô tả: Máy khách Keybase cho macOS và Windows trước phiên bản 5.9.0 không loại bỏ đúng tin nhắn tự hủy do người dùng thiết lập. Điều này có thể xảy ra nếu người nhận tin nhắn chuyển sang tính năng không trò chuyện và đặt máy chủ ở trạng thái nghỉ trước khi người gửi thiết lập chế độ tin nhắn tự hủy. Điều này có thể dẫn đến tình trạng lộ thông tin nhạy cảm cần được xóa khỏi hệ thống tệp tin của người dùng. Các sản phẩm bị ảnh hưởng:
Nguồn: Được báo cáo bởi Olivia O'Hara |
|||||
|
|
ZSB-21022 | 12/14/2021 | Thực thi lệnh tùy ý trong Máy khách Keybase dành cho Windows | Nghiêm trọng | CVE-2021-34426 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 5.3 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
Mô tả: Một lỗ hổng đã được phát hiện trong Máy khách Keybase dành cho Windows trước phiên bản 5.6.0 khi người dùng thực hiện lệnh "keybase git lfs-config" trên dòng lệnh. Trong các phiên bản trước 5.6.0, kẻ tội phạm công nghệ cao với quyền truy cập ghi vào kho lưu trữ Git của người dùng có thể tận dụng lỗ hổng này để thực hiện lệnh Windows tùy ý trên hệ thống cục bộ của người dùng. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi RyotaK |
|||||
|
|
ZSB-21021 | 12/14/2021 | Tấn công yêu cầu giả mạo từ phía máy chủ trong trò chuyện của Zoom Client for Meetings | Nghiêm trọng | CVE-2021-34425 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 4.7 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N
Mô tả: Zoom Client for Meetings trước phiên bản 5.7.3 (đối với Android, iOS, Linux, macOS và Windows) chứa lỗ hổng tấn công yêu cầu giả mạo từ phía máy chủ trong chức năng "xem trước liên kết" của cuộc trò chuyện. Trong các phiên bản trước bản 5.7.3, nếu người dùng bật tính năng "xem trước liên kết" cho cuộc trò chuyện, kẻ tội phạm công nghệ cao có thể lừa người dùng gửi yêu cầu HTTP GET tùy ý đến các URL mà tên tội phạm không thể tiếp cận trực tiếp. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Johnny Yu từ Walmart Global Tech |
|||||
|
|
ZSB-21020 | 11/24/2021 | Lộ diện bộ nhớ tiến trình trong Máy khách Zoom và các sản phẩm khác | Nghiêm trọng | CVE-2021-34424 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 5.3 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Mô tả: Lỗ hổng đã được phát hiện trong các sản phẩm được liệt kê tại phần "Sản phẩm bị ảnh hưởng" trong bản tin này. Sự cố đó có khả năng dẫn đến hiện tượng lộ diện trạng thái bộ nhớ tiến trình. Vấn đề này có thể được lợi dụng để có thể hiểu rõ hơn về các khu vực tùy ý trong bộ nhớ của sản phẩm. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Natalie Silvanovich từ Google Project Zero |
|||||
|
|
ZSB-21019 | 11/24/2021 | Tràn bộ nhớ đệm trong Máy khách Zoom và các sản phẩm khác | Nghiêm trọng | CVE-2021-34423 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.3 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Mô tả: Lỗ hổng tràn bộ nhớ đệm đã được phát hiện trong các sản phẩm được liệt kê tại phần “Sản phẩm bị ảnh hưởng'' trong bản tin này. Điều này có thể cho phép tội phạm công nghệ cao phá hủy dịch vụ hay ứng dụng hoặc tận dụng lỗ hổng này để kích hoạt mã tùy ý. Các sản phẩm bị ảnh hưởng:
Nguồn: Nguồn: Đã báo cáo bởi Natalie Silvanovich từ Google Project Zero |
|||||
|
|
ZSB-21018 | 11/09/2021 | Tấn công truyền qua đường dẫn tên tệp trong Máy khách Keybase dành cho Windows | Nghiêm trọng | CVE-2021-34422 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.2 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
Mô tả: Máy khách Keybase dành cho Windows trước phiên bản 5.7.0 chứa lỗ hổng tấn công truyền qua đường dẫn khi kiểm tra tên tệp đã tải lên một thư mục nhóm. Người dùng cố tình gây hại có thể tải tệp lên một thư mục đã chia sẻ với tên tệp được tạo ra một cách đặc biệt. Điều này khiến một người dùng khác vận hành ứng dụng ngoài ý muốn trên máy chủ của họ. Nếu người dùng cố tình gây hại tận dụng điều này qua tính năng chia sẻ thư mục công khai của máy khách Keybase, điều này có thể dẫn đến việc kích hoạt mã từ xa. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi m4t35z |
|||||
|
|
ZSB-21017 | 11/09/2021 | Lưu giữ tin nhắn chuyển từ chuỗi thành mảng trong các phiên bản Máy khách Keybase cho Android và iOS | Nghiêm trọng | CVE-2021-34421 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 3.7 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Mô tả: Máy khách Keybase cho Android trước phiên bản 5.8.0 và Máy khách Keybase cho iOS trước phiên bản 5.8.0 không loại bỏ đúng tin nhắn chuyển từ chuỗi thành mảng do người dùng khởi tạo nếu người nhận đặt phiên trò chuyện ở chế độ nền trong lúc người gửi gửi các tin nhắn chuyển từ chuỗi thành mảng. Điều này có thể dẫn đến tình trạng lộ thông tin nhạy cảm cần được xóa khỏi thiết bị của khách hàng. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Olivia O'Hara, John Jackson, Jackson Henry và Robert Willis |
|||||
|
|
ZSB-21016 | 11/09/2021 | Bỏ qua chữ ký tệp thực thi cài đặt Zoom trên Windows | Nghiêm trọng | CVE-2021-34420 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 4.7 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N
Mô tả: Trình cài đặt Zoom Client for Meetings trên Windows trước phiên bản 5.5.4 không xác minh đúng chữ ký của tệp với phần mở rộng .msi, .ps1 và .bat. Điều này có thể dẫn đến việc tội phạm công nghệ cao cài đặt phần mềm độc hại trên máy tính của khách hàng. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Laurent Delosieres từ ManoMano |
|||||
|
|
ZSB-21015 | 11/09/2021 | Chèn HTML vào máy khách Zoom Linux | Nghiêm trọng | CVE-2021-34419 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 3.7 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
Mô tả: Trong Zoom Client for Meetings dành cho Ubuntu Linux trước phiên bản 5.1.0, có lỗ hổng cho phép chèn HTML khi gửi yêu cầu điều khiển từ xa cho người dùng trong quá trình chia sẻ màn hình trong cuộc họp. Điều này có thể khiến người tham gia cuộc họp trở thành mục tiêu cho các cuộc tấn công phi kỹ thuật. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Danny de Weille và Rick Verdoes từ hackdefense |
|||||
|
|
ZSB-21014 | 11/09/2021 | Sự cố con trỏ rỗng trước khi xác thực trong bảng điều khiển web tại chỗ | Nghiêm trọng | CVE-2021-34418 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 4.0 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L Mô tả: Dịch vụ đăng nhập của bảng điều khiển web cho các sản phẩm liệt kê trong phần "Sản phẩm bị ảnh hưởng" tại bản tin này, không xác minh việc byte NULL đã gửi trong khi xác thực. Điều này có thể dẫn đến sự cố của dịch vụ đăng nhập. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Jeremy Brown |
|||||
|
|
ZSB-21013 | 11/09/2021 | Thực thi lệnh từ xa đã xác thực với quyền quản trị ưu tiên thông qua bảng điều khiển web trong bộ định tuyến đa phương tiện (MMR) | Nghiêm trọng | CVE-2021-34417 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.9 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N Mô tả: Trang proxy mạng trên web portal cho các sản phẩm liệt kê trong phần "Sản phẩm bị ảnh hưởng" tại bản tin này không xác minh dữ liệu đầu vào đã gửi trong yêu cầu thiết lập mật khẩu proxy mạng. Điều này có thể dẫn đến việc quản trị viên web portal chèn lệnh từ xa. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Jeremy Brown |
|||||
|
|
ZSB-21012 | 09/30/2021 | Thực thi mã từ xa đối với Hình ảnh tại chỗ thông qua webportal | Nghiêm trọng | CVE-2021-34416 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 5.5 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N Mô tả: Web portal cài đặt quản trị địa chỉ mạng dành cho Trình kết nối cuộc họp tại chỗ Zoom trước phiên bản 4.6.360.20210325, bộ định tuyến đa phương tiện dành cho trình kết nối cuộc họp tại chỗ Zoom trước phiên bản 4.6.360.20210325, Trình kết nối ghi tại chỗ Zoom trước phiên bản 3.8.44.20210326, Trình kết nối phòng ảo tại chỗ Zoom trước phiên bản 4.4.6752.20210326 và Cân bằng tải cho trình kết nối phòng ảo tại chỗ Zoom trước phiên bản 2.5.5495.20210326 không xác minh dữ liệu đầu vào đã được gửi trong yêu cầu cập nhật cấu hình mạng. Điều này có thể dẫn đến sự cố quản trị viên web portal chèn lệnh từ xa lên hình ảnh tại chỗ. Các sản phẩm bị ảnh hưởng:
Nguồn: Được báo cáo bởi Egor Dimitrenko từ Positive Technologies |
|||||
|
|
ZSB-21011 | 09/30/2021 | Sự cố ZC sử dụng PDU gây ra nhiều phân bổ | Nghiêm trọng | CVE-2021-34415 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.5 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H Mô tả: Dịch vụ Trình điều khiển vùng trong Trình điều khiển trình kết nối cuộc họp tại chỗ Zoom trước phiên bản 4.6.358.20210205 không xác minh trường cnt đã gửi trong các gói mạng truyền dữ liệu đến, dẫn đến cạn kiệt tài nguyên và gây ra sự cố hệ thống. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Nikita Abramov từ Positive Technologies |
|||||
|
|
ZSB-21010 | 09/30/2021 | Thực thi mã từ xa đối với máy chủ Trình kết nối cuộc họp thông qua cấu hình proxy mạng webportal | Nghiêm trọng | CVE-2021-34414 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.2 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H Mô tả: Trang proxy mạng trên web portal dành cho Trình điều khiển trình kết nối cuộc họp tại chỗ Zoom trước phiên bản 4.6.348.20201217, Bộ định tuyến đa phương tiện dành cho trình kết nối cuộc họp tại chỗ Zoom trước phiên bản 4.6.348.20201217, Trình kết nối ghi tại chỗ Zoom trước phiên bản 3.8.42.20200905, Trình kết nối phòng ảo tại chỗ Zoom trước phiên bản 4.4.6620.20201110 và Cân bằng tải cho trình kết nối phòng ảo tại chỗ Zoom trước phiên bản 2.5.5495.20210326 không xác minh dữ liệu đầu vào đã được gửi trong yêu cầu cập nhật cấu hình proxy mạng. Điều này có thể dẫn đến sự cố quản trị viên web portal chèn lệnh từ xa lên hình ảnh tại chỗ. Các sản phẩm bị ảnh hưởng:
Nguồn: Được báo cáo bởi Egor Dimitrenko từ Positive Technologies |
|||||
|
|
ZSB-21009 | 09/30/2021 | Gia tăng quyền cục bộ cho trình cài đặt Plugin Zoom cho macOS Outlook | Nghiêm trọng | CVE-2021-34413 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 2.8 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N Mô tả: Tất cả các phiên bản Plugin Zoom cho Microsoft Outlook đối với macOS trước bản 5.3.52553.0918 đều chứa lỗ hổng Thời điểm kiểm tra/Thời điểm sử dụng (TOC/TOU) trong quá trình cài đặt plug-in. Điều này cho phép người dùng tiêu chuẩn ghi ứng dụng độc hại của riêng họ vào danh mục plugin, từ đó cho phép kích hoạt ứng dụng độc hại trong tình huống đặc quyền. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Lockheed Martin Red Team |
|||||
|
|
ZSB-21008 | 09/30/2021 | Gia tăng quyền cục bộ cho trình cài đặt Zoom for Windows | Nghiêm trọng | CVE-2021-34412 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 4.4 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Mô tả: Trong quá trình cài đặt tất cả các phiên bản Zoom Client for Meetings cho Windows trước bản 5.4.0, bạn có thể khởi chạy Internet Explorer. Nếu trình cài đặt được khởi chạy với quyền ở mức cao như SCCM thì điều này có thể dẫn đến vấn đề gia tăng quyền cục bộ. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Lockheed Martin Red Team |
|||||
|
|
ZSB-21007 | 09/30/2021 | Gia tăng quyền cục bộ cho trình cài đặt Zoom Rooms | Nghiêm trọng | CVE-2021-34411 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 4.4 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Mô tả: Trong quá trình cài đặt Zoom Rooms cho phòng hội nghị đối với Windows trước phiên bản 5.3.0, bạn có thể khởi chạy Internet Explorer với quyền ở mức cao. Nếu trình cài đặt được khởi chạy với quyền ở mức cao như SCCM thì điều này có thể dẫn đến vấn đề gia tăng quyền cục bộ. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Lockheed Martin Red Team |
|||||
|
|
ZSB-21004 | 09/30/2021 | Trình cài đặt Zoom MSI ghi nâng cao bằng cách sử dụng điểm nút | Nghiêm trọng | CVE-2021-34408 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.0 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Mô tả: Danh mục cho phép người dùng ghi đã được tạo ra trong quá trình cài đặt Zoom Client for Meetings cho phiên bản Windows trước phiên bản 5.3.2 có thể được chuyển hướng đến một vị trí khác thông qua một điểm nút. Điều này cho phép kẻ tấn công ghi đè lên các tệp trong khi người dùng có quyền bị hạn chế không thể sửa đổi những tệp này. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Lockheed Martin Red Team |
|||||
|
|
ZSB-21003 | 09/30/2021 | Bỏ qua chữ ký số của trình cài đặt Zoom cho Windows | Nghiêm trọng | CVE-2021-33907 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.0 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H/MPR:N/MUI:R/MS:U/MC:H/MI:H/MA:H
Mô tả: Zoom Client for Meetings cho Windows trong tất cả các phiên bản trước 5.3.0 không xác thực đúng thông tin chứng nhận được dùng để ký các tệp .msi khi tiến hành cập nhật client. Điều này có thể dẫn đến việc thực thi mã từ xa trong tình huống đặc quyền ở mức cao. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Lockheed Martin Red Team |
|||||
|
|
ZSB-21002 | 08/13/2021 | Tràn khối xếp từ việc ghi dữ liệu không kiểm tra vào bộ nhớ đệm tĩnh từ tin nhắn Giao thức nhắn tin và hiện diện mở rộng (XMPP) | Nghiêm trọng | CVE-2021-30480 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 8.1 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H
Mô tả: Tràn bộ nhớ đệm dựa trên khối xếp tồn tại ở tất cả các phiên bản cho máy tính để bàn trước phiên bản 5.6.3 của Zoom Client for Meetings. Phát hiện này đã được báo cáo cho Zoom như một phần của cuộc thi Pwn20wn 2021 tại Vancouver. Chuỗi tấn công thể hiện trong Pwn20wn đã được giảm thiểu trong một thay đổi phía máy chủ trong cơ sở hạ tầng của Zoom vào 09/04/2021. Các sản phẩm bị ảnh hưởng:
Nguồn: Đã báo cáo bởi Daan Keuper và Thijs Alkemade từ Computest thông qua Sáng kiến Zero Day |
|||||
|
|
ZSB-21001 | 03/26/2021 | Tính năng chia sẻ màn hình cửa sổ ứng dụng | Nghiêm trọng | CVE-2021-28133 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 5.7 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N
Mô tả: Một lỗ hổng bảo mật ảnh hưởng tới chức năng chia sẻ màn hình đối với phiên bản Máy khách Zoom trên Linux và Windows. Khi chia sẻ các cửa sổ ứng dụng riêng lẻ, một số nội dung màn hình các ứng dụng không được người dùng chủ định chia sẻ bị hiển thị cho những người khác cùng tham gia cuộc họp trong khoảnh khắc ngắn, nếu "người chia sẻ" thu nhỏ, phóng to hoặc đóng một cửa sổ khác. Các sản phẩm bị ảnh hưởng:
Nguồn: Do Michael Stramez và Matthias Deeg phát hiện. |
|||||
|
|
ZSB-20002 | 08/14/2020 | DLL của Windows trong Dịch vụ chia sẻ của Zoom | Nghiêm trọng | CVE-2020-9767 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): 7.8 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Mô tả: Một lỗ hổng bảo mật liên quan đến việc tải Thư viện liên kết động ("DLL") trong Dịch vụ chia sẻ của Zoom, khiến người dùng Windows cục bộ có khả năng vượt quyền trước người dùng NT AUTHORITY/SYSTEM. Các sản phẩm bị ảnh hưởng:
Nguồn: Chuyên gia tư vấn Connor Scott từ hãng Context Information Security |
|||||
|
|
ZSB-20001 | 05/04/2020 | Bản cài đặt Zoom IT cho Windows | Nghiêm trọng | CVE-2020-11443 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): Cơ sở: 8.4 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H
Mô tả: Một lỗ hổng trong cách bộ cài đặt Zoom cho Windows xử lý các điểm nút khi xóa tệp, việc này có thể cấp quyền cho người dùng Windows cục bộ xóa các tệp vốn thuộc loại không thể xóa được. Các sản phẩm bị ảnh hưởng:
Nguồn: Cảm ơn đội Red Team của Lockheed Martin. |
|||||
|
|
ZSB-19003 | 07/12/2019 | Ứng dụng chạy nền ZoomOpener | Nghiêm trọng | CVE-2019-13567 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): Cơ sở: 7.5 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Mô tả: Một lỗ hổng trong bản máy khách Zoom trên macOS có thể cho phép kẻ tấn công tải phần mềm độc hại xuống thiết bị của nạn nhân. Các sản phẩm bị ảnh hưởng:
Nguồn: Không xác định. |
|||||
|
|
ZSB-19002 | 07/09/2019 | Cài đặt video mặc định | Nghiêm trọng | CVE-2019-13450 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): Cơ sở: 3.1 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
Mô tả: Một lỗ hổng bảo mật trong phiên bản máy khách Zoom của macOS và RingCentral có thể cho phép một kẻ tấn công từ xa và chưa được xác thực buộc người dùng tham gia cuộc gọi video với camera video đang hoạt động. Các sản phẩm bị ảnh hưởng:
Nguồn: Do Jonathan Leitschuh phát hiện. |
|||||
|
|
ZSB-19001 | 07/09/2019 | Tấn công từ chối dịch vụ - macOS | Nghiêm trọng | CVE-2019-13449 |
|
Mức độ nghiêm trọng: Nghiêm trọng Điểm theo Hệ thống tính điểm lỗ hổng thường gặp (CVSS): Cơ sở: 3.1 Chuỗi vectơ Hệ thống tính điểm lỗ hổng thường gặp (CVSS): CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Mô tả: Một lỗ hổng bảo mật trong bản máy khách Zoom cho MacOS có thể cho phép một kẻ tấn công từ xa và chưa được xác thực kích hoạt điều kiện từ chối dịch vụ trên hệ thống của nạn nhân. Các sản phẩm bị ảnh hưởng:
Nguồn: Do Jonathan Leitschuh phát hiện. |
|||||
| No results found | |||||
Vui lòng cung cấp địa chỉ email cá nhân để nhận thông báo về Bản tin bảo mật của Zoom trong tương lai. (Ghi chú: Các email phụ sẽ không nhận được các thông báo này.)