Trust Center Security, Privacy, Blogs Additional Resources

Sicherheitsmeldungen

Alle Schweregrade
  • Alle Schweregrade
  • Kritisch
  • Hoch
  • Mittel
  • Niedrig
Alle CVE
  • Alle CVE
  • CVE-2024-24691
  • CVE-2024-24690
  • CVE-2024-24699
  • CVE-2024-24698
  • CVE-2024-24697
  • CVE-2024-24696
  • CVE-2024-24695
  • CVE-2023-49647
  • CVE-2023-49646
  • CVE-2023-43586
  • CVE-2023-43585
  • CVE-2023-43583
  • CVE-2023-43582
  • CVE-2023-43591
  • CVE-2023-43590
  • CVE-2023-43588
  • CVE-2023-39199
  • CVE-2023-39206
  • CVE-2023-39205
  • CVE-2023-39204
  • CVE-2023-39203
  • CVE-2023-39202
  • CVE-2023-39201
  • CVE-2023-39208
  • CVE-2023-39215
  • CVE-2023-39209
  • CVE-2023-39214
  • CVE-2023-39213
  • CVE-2023-39212
  • CVE-2023-39211
  • CVE-2023-39210
  • CVE-2023-39218
  • CVE-2023-39217
  • CVE-2023-39216
  • CVE-2023-36535
  • CVE-2023-36534
  • CVE-2023-36533
  • CVE-2023-36532
  • CVE-2023-36541
  • CVE-2023-36540
  • CVE-2023-36538
  • CVE-2023-36537
  • CVE-2022-36928
  • CVE-2022-36926
    CVE-2022-36927
  • CVE-2022-36925
  • CVE-2022-36924
  • CVE-2022-28768
  • CVE-2022-28766
  • CVE-2022-28764
  • CVE-2022-28763
  • CVE-2022-28762
  • CVE-2022-28761
  • CVE-2022-28760
  • CVE-2022-28758
    CVE-2022-28759
  • CVE-2022-28757
  • CVE-2022-28756
  • CVE-2022-28751
  • CVE-2022-28753
    CVE-2022-28754
  • CVE-2022-28755
  • CVE-2022-28750
  • CVE-2022-28749
  • CVE-2022-22788
  • CVE-2022-22787
  • CVE-2022-22786
  • CVE-2022-22785
  • CVE-2022-22784
  • CVE-2022-22783
  • CVE-2022-22782
  • CVE-2022-22781
  • CVE-2022-22780
  • CVE-2022-22779
  • CVE-2021-34426
  • CVE-2021-34425
  • CVE-2021-34424
  • CVE-2021-34423
  • CVE-2021-34422
  • CVE-2021-34421
  • CVE-2021-34420
  • CVE-2021-34419
  • CVE-2021-34418
  • CVE-2021-34417
  • CVE-2021-34416
  • CVE-2021-34415
  • CVE-2021-34414
  • CVE-2021-34413
  • CVE-2021-34412
  • CVE-2021-34411
  • CVE-2021-34408
  • CVE-2021-33907
  • CVE-2021-30480
  • CVE-2021-28133
  • CVE-2020-9767
  • CVE-2020-11443
  • CVE-2019-13567
  • CVE-2019-13450
  • CVE-2019-13449
Suchen

Sicherheitsmeldungen

Zoom stellt einzelnen Benutzern im Zusammenhang mit einer Zoom-Sicherheitsmeldung keine Hinweise zur Auswirkung von Schwachstellen oder weitere Details zu Schwachstellen bereit. Wir raten Benutzern, die neueste Version der Zoom-Software herunterzuladen, um die aktuellen Bugfixes und Sicherheitsverbesserungen zu erhalten.

ZSB Datum Titel Schweregrad CVE (falls zutreffend)
ZSB-24008 02/13/2024 Zoom-Anwendung für Windows, Zoom VDI-Client für Windows und Zoom Meeting-SDK für Windows – Unsachgemäße Eingabeprüfung Kritisch CVE-2024-24691

Schweregrad: Kritisch

CVSS-Ergebnis: 9.6

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Beschreibung: Die unsachgemäße Eingabeprüfung in der Zoom-Anwendung für Windows, dem Zoom VDI-Client für Windows und dem Zoom Meeting-SDK für Windows kann es einem nicht authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff eine Eskalation der Berechtigungen durchzuführen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie die neuesten auf https://zoom.us/download verfügbaren Updates anwenden.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.15.5
  • Zoom-Anwendung für macOS: nur Version 5.15.0
  • Zoom-Anwendung für Linux: nur Version 5.15.0
  • Mobile Zoom-App für iOS: nur Version 5.15.0

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-24007 02/13/2024 Zoom Clients – Unsachgemäße Eingabeprüfung Mittel CVE-2024-24690

Schweregrad: Mittel

CVSS-Ergebnis: 5.4

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

Beschreibung: Die unsachgemäße Eingabeprüfung in einigen Zoom Clients kann es einem authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff einen Denial of Service durchzuführen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie die neuesten auf https://zoom.us/download verfügbaren Updates anwenden.

Betroffene Produkte:

  • SDK der Zoom-Anwendung für Windows: vor Version 5.15.5
  • SDK der Zoom-Anwendung für iOS: vor Version 5.15.5
  • SDK der Zoom-Anwendung für Android: vor Version 5.15.5
  • SDK der Zoom-Anwendung für macOS: vor Version 5.15.5
  • SDK der Zoom-Anwendung für Linux: vor Version 5.15.5

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-24006 02/13/2024 Zoom-Clients – Geschäftslogikfehler Mittel CVE-2024-24699

Schweregrad: Mittel

CVSS-Ergebnis: 6.5

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Beschreibung: Ein Fehler in der Geschäftslogik beim Meeting-Chat in einigen Zoom Clients kann es einem authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff Informationen offenzulegen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie die neuesten auf https://zoom.us/download verfügbaren Updates anwenden.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.15.2
  • Zoom VDI-Anwendung: vor 5.15.2
  • Zoom Rooms für Konferenzräume für Windows (32 Bit) vor 5.12.6
  • Zoom Client für Meetings für Chrome OS vor Version 5.0.1
  • Zoom Rooms für Konferenzräume (für Android, AndroidBali, macOS und Windows) vor Version 5.8.3
  • Controller für Zoom Rooms (für Android, iOS und Windows) vor Version 5.8.3
  • Zoom VDI Windows Meeting-Client vor Version 5.8.4
  • Zoom VDI Azure Virtual-Desktop-Plug-ins (für Windows x86 oder x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) vor Version 5.8.4.21112

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-24005 02/13/2024 Zoom Clients – Unsachgemäße Authentifizierung Mittel CVE-2024-24698

Schweregrad: Mittel

CVSS-Ergebnis: 4.9

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

Beschreibung: Die unsachgemäße Authentifizierung in einigen Zoom Clients kann es einem privilegierten Benutzer ermöglichen, über den lokalen Zugriff Informationen offenzulegen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie die neuesten auf https://zoom.us/download verfügbaren Updates anwenden.

Betroffene Produkte:

  • Zoom Rooms für Windows: vor Version 5.15.5
  • Zoom VDI Windows Meeting-Client vor Version 5.12.6
  • Zoom Rooms für Konferenzräume (für Android, iOS, Linux, macOS und Windows) vor Version 5.12.6
  • Alle Versionen von Zoom Client for Meetings für macOS vor Version 5.7.3
  • Alle Versionen von Zoom Client for Meetings für Windows vor Version 5.6.3
  • Controller für Zoom Rooms (für Android, iOS und Windows) vor Version 5.8.3
  • Zoom VDI Windows Meeting-Client vor Version 5.8.4
  • Zoom VDI Azure Virtual-Desktop-Plug-ins (für Windows x86 oder x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) vor Version 5.8.4.21112

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-24004 02/13/2024 Zoom Clients – Nicht vertrauenswürdiger Suchpfad Hoch CVE-2024-24697

Schweregrad: Hoch

CVSS-Ergebnis: 7.2

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H

Beschreibung: Ein nicht vertrauenswürdiger Suchpfad in einigen 32-Bit Zoom Clients für Windows kann es einem authentifizierten Benutzer ermöglichen, über den lokalen Zugriff eine Eskalation der Berechtigungen durchzuführen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie die neuesten auf https://zoom.us/download verfügbaren Updates anwenden.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.17.0
  • Zoom Rooms für Windows: vor Version 5.15.5
  • Zoom VDI Windows Meeting-Anwendungen vor Version 5.14.0
  • Zoom Client für Meetings für Chrome OS vor Version 5.0.1

Quelle: Gemeldet von sim0nsecurity

ZSB-24003 02/13/2024 Zoom-Anwendung für Windows, Zoom VDI-Client für Windows und Zoom Meeting-SDK für Windows – Unsachgemäße Eingabeprüfung Mittel CVE-2024-24696

Schweregrad: Mittel

CVSS-Ergebnis: 6.8

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N

Beschreibung: Die unsachgemäße Eingabeprüfung beim Meeting-Chat in der Zoom-Anwendung für Windows, dem Zoom VDI-Client für Windows und dem Zoom Meeting-SDK für Windows kann es einem authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff Informationen offenzulegen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie die neuesten auf https://zoom.us/download verfügbaren Updates anwenden.

Betroffene Produkte:

  • SDK der Zoom-Anwendung: vor Version 5.15.0
  • Zoom Rooms-Geräte für Windows vor Version 5.14.0
  • Zoom VDI Windows Meeting-Anwendungen vor Version 5.14.0

Quelle: Gemeldet von shmoul

ZSB-24002 02/13/2024 Zoom-Anwendung für Windows, Zoom VDI-Client für Windows und Zoom Meeting-SDK für Windows – Unsachgemäße Eingabeprüfung Mittel CVE-2024-24695

Schweregrad: Mittel

CVSS-Ergebnis: 6.8

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N

Beschreibung: Die unsachgemäße Eingabeprüfung in der Zoom-Anwendung für Windows, dem Zoom VDI-Client für Windows und dem Zoom Meeting-SDK für Windows kann es einem authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff Informationen offenzulegen.


Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie die neuesten auf https://zoom.us/download verfügbaren Updates anwenden.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.17.0
  • Zoom-Anwendung für macOS: vor Version 5.14.10
  • Zoom-Anwendung für Linux: vor Version 5.14.10

Quelle: Gemeldet von shmoul

ZSB-24001 01/09/2024 Zoom-Anwendung für Windows, Zoom VDI-Client für Windows und Zoom SDKs für Windows – Unsachgemäße Zugriffssteuerung Kritisch CVE-2023-49647

Schweregrad: Kritisch

CVSS-Ergebnis: 8.8

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschreibung: Die unsachgemäße Zugriffssteuerung in der Zoom-Anwendung für Windows, dem Zoom VDI-Client für Windows und Zoom SDKs für Windows vor der Version 5.16.10 kann es einem authentifizierten Benutzer ermöglichen, über den lokalen Zugriff eine Eskalation der Berechtigungen durchzuführen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.16.10
  • SDK der Zoom-Anwendung für iOS: vor Version 5.14.10
  • SDK der Zoom-Anwendung für Android: vor Version 5.14.10
  • SDK der Zoom-Anwendung für macOS: vor Version 5.14.10

Quelle: Gemeldet von sim0nsecurity

ZSB-23062 12/12/2023 Zoom Clients – Unsachgemäße Authentifizierung Kritisch CVE-2023-49646

Schweregrad: Kritisch

CVSS-Ergebnis: 5.4

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

Beschreibung: Die unsachgemäße Authentifizierung in Zoom Clients vor Version 5.16.5 kann es einem authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff einen Denial of Service zu aktivieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.16.5
  • Zoom VDI Windows Meeting-Clients vor Version 5.10.7
  • Zoom Client für Meetings für intune (für Android und iOS) vor Version 5.8.4
  • Zoom Client für Meetings für Chrome OS vor Version 5.0.1
  • Zoom Rooms für Konferenzräume (für Android, AndroidBali, macOS und Windows) vor Version 5.8.3
  • Controller für Zoom Rooms (für Android, iOS und Windows) vor Version 5.8.3
  • Zoom VDI Windows Meeting-Client vor Version 5.8.4

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-23059 12/12/2023 Zoom-Anwendung für Windows, Zoom VDI-Client für Windows und Zoom SDKs für Windows – Path Traversal Kritisch CVE-2023-43586

Schweregrad: Kritisch

CVSS-Ergebnis: 7.3

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N

Beschreibung: Ein Path Traversal in der Zoom-Anwendung für Windows, dem Zoom VDI-Client für Windows und Zoom SDKs für Windows kann es einem authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff eine Eskalation der Berechtigungen durchzuführen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.16.5
  • Zoom-Anwendung für macOS: vor Version 5.14.10
  • Zoom-Anwendung für Linux: vor Version 5.14.10
  • Zoom VDI-Host und -Plug-in: vor Version 5.14.10

Quelle: Gemeldet von shmoul

ZSB-23058 12/12/2023 Mobile Zoom-App für iOS und SDKs für iOS – Unsachgemäße Zugriffssteuerung Kritisch CVE-2023-43585

Schweregrad: Kritisch

CVSS-Ergebnis: 7.1

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L

Beschreibung: Die unsachgemäße Zugriffssteuerung in der mobilen Zoom-App für iOS und Zoom SDKs für iOS vor der Version 5.16.5 kann es einem authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff Informationen offenzulegen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Mobile Zoom-App für iOS: vor Version 5.16.5
  • Zoom Rooms für Konferenzräume für macOS vor Version 5.11.6
  • Lokaler Zoom Aufzeichnungs-Connector vor Version 3.8.42.20200905
  • Lokaler virtueller Zoom Raum-Connector vor Version 4.4.6344.20200612

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-23056 12/12/2023 Mobile Zoom-App für Android, Mobile Zoom-App für iOS und Zoom SDKs – Kryptografische Probleme Kritisch CVE-2023-43583

Schweregrad: Kritisch

CVSS-Ergebnis: 4.9

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

Beschreibung: Kryptografische Probleme in der mobilen Zoom-App für Android, der mobilen Zoom-App für iOS und Zoom SDKs für Android und iOS vor der Version 5.16.0 können es einem privilegierten Benutzer ermöglichen, über den Netzwerkzugriff Informationen offenzulegen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Mobile Zoom-App für Android: vor Version 5.16.0
  • SDK der Zoom-Anwendung für iOS: vor Version 5.14.7
  • SDK der Zoom-Anwendung für Android: vor Version 5.14.7
  • SDK der Zoom-Anwendung für macOS: vor Version 5.14.7
  • SDK der Zoom-Anwendung für Linux: vor Version 5.14.7
  • Controller für Zoom Rooms (für Android, iOS und Windows) vor Version 5.8.3

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-23055 11/14/2023 Zoom Clients – Unsachgemäße Autorisierung Kritisch CVE-2023-43582

Schweregrad: Kritisch

CVSS-Ergebnis: 5.5

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L

Beschreibung: Die unsachgemäße Autorisierung in einigen Zoom Clients kann es einem authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff eine Eskalation der Berechtigungen durchzuführen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.16.0
  • Zoom-Anwendung für macOS: vor Version 5.14.5
  • Zoom-Anwendung für Linux: vor Version 5.14.5
  • Zoom VDI-Host und -Plug-in: vor Version 5.14.5
  • Mobile Zoom-App für Android: vor Version 5.14.5
  • Mobile Zoom-App für iOS: vor Version 5.14.5
  • Zoom Rooms für iPad: vor Version 5.14.5
  • Zoom Rooms für Android: vor Version 5.14.5
  • Zoom Rooms für Windows vor Version 5.14.5
  • Zoom Rooms für macOS: vor Version 5.14.5
  • Zoom Meeting SDK für Android vor Version 5.7.6.1922
  • Zoom Meeting SDK für iOS vor Version 5.7.6.1082
  • Zoom Meeting SDK für macOS vor Version 5.7.6.1340
  • Zoom Meeting SDK für Windows vor Version 5.7.6.1081
  • Zoom Video SDK (für Android, iOS, macOS und Windows) vor Version 1.1.2

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-23054 11/14/2023 Zoom Rooms für macOS –Unsachgemäße Berechtigungsverwaltung Kritisch CVE-2023-43591

Schweregrad: Kritisch

CVSS-Ergebnis: 7.8

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschreibung: Die unsachgemäße Berechtigungsverwaltung in Zoom Rooms für macOS vor der Version 5.16.0 kann es einem authentifizierten Benutzer ermöglichen, über den lokalen Zugriff eine Eskalation der Berechtigungen durchzuführen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Rooms für macOS: vor Version 5.16.0

Quelle: Gemeldet von Eugene Lim (spaceraccoon)

ZSB-23053 11/14/2023 Zoom Rooms für macOS – Linkverfolgung Kritisch CVE-2023-43590

Schweregrad: Kritisch

CVSS-Ergebnis: 7.8

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschreibung: Die Linkverfolgung in Zoom Rooms für macOS vor der Version 5.16.0 kann es einem authentifizierten Benutzer ermöglichen, über den lokalen Zugriff eine Eskalation der Berechtigungen durchzuführen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Rooms für macOS: vor Version 5.16.0

Quelle: Gemeldet von Eugene Lim (spaceraccoon)

ZSB-23052 11/14/2023 Zoom Clients – Unzureichendes Kontrollfluss-Management Kritisch CVE-2023-43588

Schweregrad: Kritisch

CVSS-Ergebnis: 3.5

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N

Beschreibung: Unzureichendes Kontrollfluss-Management in einigen Zoom Clients kann es einem authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff Informationen offenzulegen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.16.0
  • Lokaler Zoom Meeting-Connector-MMR Version 4.8.102.20220310
  • Lokaler Zoom Aufzeichnungs-Connector vor Version 3.8.44.20210326
  • Lokaler virtueller Zoom Raum-Connector vor Version 4.4.6752.20210326
  • Lokaler virtueller Zoom Raum-Connector Load Balancer vor Version 2.5.5495.20210326

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-23051 11/14/2023 Zoom Clients – Kryptografische Probleme Kritisch CVE-2023-39199

Schweregrad: Kritisch

CVSS-Ergebnis: 4.9

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

Beschreibung: Kryptographische Probleme beim Meeting-Chat in einigen Zoom Clients können es einem privilegierten Benutzer ermöglichen, über den Netzwerkzugriff Informationen offenzulegen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.16.0
  • Zoom Rooms for Windows-Anwendungen vor Version 5.13.3
  • Zoom VDI for Windows-Anwendungen vor Version 5.13.1
  • Alle Versionen von Zoom VDI Windows Meeting-Client vor Version 5.9.6

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-23050 11/14/2023 Zoom Clients – Pufferüberlauf Kritisch CVE-2023-39206

Schweregrad: Kritisch

CVSS-Ergebnis: 3.7

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L

Beschreibung: Der Pufferüberlauf in einigen Zoom Clients kann es einem nicht authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff einen Denial of Service durchzuführen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.16.0
  • Zoom Rooms for Windows-Anwendungen vor Version 5.13.3
  • Zoom VDI for Windows-Anwendungen vor Version 5.13.1
  • Lokaler virtueller Zoom Raum-Connector vor Version 4.4.6344.20200612
  • Lokaler virtueller Zoom Raum-Connector Load Balancer vor Version 2.5.5492.20200616

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-23049 11/14/2023 Zoom Clients – Unsachgemäße Bedingungsprüfung Kritisch CVE-2023-39205

Schweregrad: Kritisch

CVSS-Ergebnis: 4.3

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Beschreibung: Die unsachgemäße Bedingungsprüfung beim Zoom Team Chat in Zoom Clients kann es einem authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff einen Denial of Service durchzuführen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.16.0
  • Alle Versionen von Zoom Rooms für Konferenzräume für Windows vor Version 5.10.0
  • Alle Versionen von Zoom Plugins für Microsoft Outlook für Windows vor Version 5.10.3
  • Alle Versionen von Zoom VDI Windows Meeting-Client vor Version 5.9.6
  • Alle Versionen von Zoom Client for Meetings für Windows vor Version 5.6.3

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-23048 11/14/2023 Zoom Clients – Pufferüberlauf Kritisch CVE-2023-39204

Schweregrad: Kritisch

CVSS-Ergebnis: 4.3

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L

Beschreibung: Der Pufferüberlauf in einigen Zoom Clients kann es einem nicht authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff einen Denial of Service durchzuführen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.15.10
  • Alle Zoom Rooms für Konferenzräume für Windows vor Version 5.10.0
  • Lokaler Zoom Aufzeichnungs-Connector vor Version 3.8.42.20200905
  • Lokaler virtueller Zoom Raum-Connector vor Version 4.4.6344.20200612
  • Lokaler virtueller Zoom Raum-Connector Load Balancer vor Version 2.5.5492.20200616

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-23047 11/14/2023 Zoom-Anwendung für Windows und Zoom VDI-Client – Unkontrollierte Ressourcennutzung Kritisch CVE-2023-39203

Schweregrad: Kritisch

CVSS-Ergebnis: 4.3

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L

Beschreibung: Die unkontrollierte Ressourcennutzung in Zoom Team Chat für die Zoom-Anwendung für Windows und den Zoom VDI-Client kann es einem nicht authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff Informationen offenzulegen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.16.0
  • Zoom Rooms (for Linux, macOS und Windows)-Anwendungen vor Version 5.13.5

Quelle: Gemeldet von shmoul

ZSB-23046 11/14/2023 Zoom Rooms-Geräte für Windows und Zoom VDI-Client – Nicht vertrauenswürdiger Suchpfad Kritisch CVE-2023-39202

Schweregrad: Kritisch

CVSS-Ergebnis: 3.1

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:L

Beschreibung: Der nicht vertrauenswürdige Suchpfad bei Zoom Rooms-Geräten für Windows und im Zoom VDI-Client kann es einem privilegierten Benutzer ermöglichen, über den lokalen Zugriff einen Denial of Service durchzuführen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Rooms-Geräte für Windows vor Version 5.16.0
  • Lokaler Zoom Meeting-Connector-MMR vor Version 4.6.360.20210325

Quelle: Gemeldet von sim0nsecurity

ZSB-23045 09/12/2023 CleanZoom –Nicht vertrauenswürdiger Suchpfad Kritisch CVE-2023-39201

Schweregrad: Kritisch

CVSS-Ergebnis: 7.2

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H

Beschreibung: Ein nicht vertrauenswürdiger Suchpfad in CleanZoom vor dem Dateidatum 24.07.2023 kann es einem authentifizierten Benutzer ermöglichen, über den lokalen Zugriff eine Eskalation der Berechtigungen durchzuführen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • CleanZoom vor Dateidatum 24.07.2023

Quelle: Gemeldet von sim0nsecurity

ZSB-23043 09/12/2023 Zoom-Anwendung für Linux – Unsachgemäße Eingabeprüfung Kritisch CVE-2023-39208

Schweregrad: Kritisch

CVSS-Ergebnis: 6.5

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L

Beschreibung: Die unsachgemäße Eingabevalidierung in der Zoom-Anwendung für Linux vor der Version 5.15.10 kann es einem nicht authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff einen Denial of Service durchzuführen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Linux: vor Version 5.15.10

Quelle: Gemeldet von Antoine Roly (aroly)

ZSB-23040 09/12/2023 Zoom Clients – Unsachgemäße Authentifizierung Kritisch CVE-2023-39215

Schweregrad: Kritisch

CVSS-Ergebnis: 7.1

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:H

Beschreibung: Die unsachgemäße Authentifizierung in Zoom Clients kann es einem authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff einen Denial of Service durchzuführen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.15.5
  • Zoom for macOS vor Version 5.14.10
  • Zoom VDI for Windows-Anwendungen vor Version 5.13.1
  • Zoom Client for Meetings für Chrome OS vor Version 5.0.1
  • Zoom Rooms für Konferenzräume (für Android, AndroidBali, macOS und Windows) vor Version 5.8.3
  • Controller für Zoom Rooms (für Android, iOS und Windows) vor Version 5.8.3
  • Zoom VDI Windows Meeting-Client vor Version 5.8.4
  • Zoom VDI Azure Virtual-Desktop-Plug-ins (für Windows x86 oder x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) vor Version 5.8.4.21112

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-23041 08/08/2023 Zoom-Anwendung für Windows – Unsachgemäße Eingabeprüfung Kritisch CVE-2023-39209

Schweregrad: Kritisch

CVSS-Ergebnis: 5.9

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Beschreibung: Die unsachgemäße Eingabeprüfung in der Zoom-Anwendung für Windows vor der Version 5.15.5 kann es einem authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff Informationen offenzulegen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.15.5

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-23039 08/08/2023 Zoom Clients – Offenlegung vertraulicher Informationen Kritisch CVE-2023-39214

Schweregrad: Kritisch

CVSS-Ergebnis: 7.6

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H

Beschreibung: Die Offenlegung vertraulicher Informationen in Zoom Clients vor der Version 5.15.5 kann es einem authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff einen Denial of Service zu aktivieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.15.5
  • Zoom VDI Windows Meeting-Client vor Version 5.12.6
  • Zoom Rooms für Konferenzräume (für Android, iOS, Linux, macOS und Windows) vor Version 5.12.6

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-23038 08/08/2023 Zoom-Anwendung für Windows und Zoom VDI-Anwendung – Unsachgemäße Neutralisierung besonderer Elemente Kritisch CVE-2023-39213

Schweregrad: Kritisch

CVSS-Ergebnis: 9.6

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Beschreibung: Die unsachgemäße Neutralisierung besonderer Elemente in der Zoom-Anwendung für Windows und dem Zoom VDI-Client kann es einem nicht authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff eine Eskalation der Berechtigungen zu aktivieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.15.2
  • Zoom Rooms-Geräte für Windows vor Version 5.14.0
  • Zoom VDI Windows Meeting-Anwendungen vor Version 5.14.0

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-23037 08/08/2023 Zoom Rooms für Windows – Nicht vertrauenswürdiger Suchpfad Kritisch CVE-2023-39212

Schweregrad: Kritisch

CVSS-Ergebnis: 7.9

CVSS-Vektorstring: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

Beschreibung: Der nicht vertrauenswürdige Suchpfad in Zoom Rooms für Windows vor Version 5.15.5 kann es einem authentifizierten Benutzer ermöglichen, über den lokalen Zugriff einen Denial of Service zu aktivieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Rooms für Windows: vor Version 5.15.5

Quelle: Gemeldet von sim0nsecurity

ZSB-23036 08/08/2023 Zoom-Anwendung für Windows und Zoom Rooms für Windows – Unsachgemäße Berechtigungsverwaltung Kritisch CVE-2023-39211

Schweregrad: Kritisch

CVSS-Ergebnis: 8.8

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschreibung: Die unsachgemäße Berechtigungsverwaltung in der Zoom-Anwendung für Windows und Zoom Rooms für Windows vor der Version 5.15.5 kann es einem authentifizierten Benutzer ermöglichen, über den lokalen Zugriff Informationen offenzulegen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows vor Version 5.15.5
  • Alle Zoom Rooms für Konferenzräume für Windows vor Version 5.10.0

Quelle: Gemeldet von sim0nsecurity

ZSB-23035 08/08/2023 SDK der Zoom-Anwendung für Windows – Unverschlüsselte Speicherung vertraulicher Informationen Kritisch CVE-2023-39210

Schweregrad: Kritisch

CVSS-Ergebnis: 5.5

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Beschreibung: Die unverschlüsselte Speicherung vertraulicher Informationen im SDK der Zoom-Anwendung für Windows vor Version 5.15.0 kann es einem authentifizierten Benutzer ermöglichen, über den lokalen Zugriff Informationen offenzulegen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • SDK der Zoom-Anwendung: vor Version 5.15.0

Quelle: Gemeldet von sim0nsecurity

ZSB-23034 08/08/2023 Zoom Clients – Clientseitige Durchsetzung der serverseitigen Sicherheit Kritisch CVE-2023-39218

Schweregrad: Kritisch

CVSS-Ergebnis: 6.5

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

Beschreibung: Die clientseitige Durchsetzung der serverseitigen Sicherheit in den Zoom-Anwendungen vor Version 5.14.10 kann es einem berechtigten Benutzer ermöglichen, über den Netzwerkzugriff Informationen offenzulegen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.14.10
  • Lokaler Zoom Meeting-Connector-MMR vor Version 4.6.365.20210703
  • Lokaler Zoom Aufzeichnungs-Connector vor Version 3.8.45.20210703
  • Lokaler virtueller Zoom Raum-Connector vor Version 4.4.6868.20210703
  • Lokaler virtueller Zoom Raum-Connector Load Balancer vor Version 2.5.5496.20210703

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-23033 08/08/2023 Zoom Clients – Unsachgemäße Eingabeprüfung Kritisch CVE-2023-39217

Schweregrad: Kritisch

CVSS-Ergebnis: 5.3

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Beschreibung: Die unsachgemäße Eingabeprüfung in Zoom Clients vor Version 5.14.10 kann es einem nicht authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff einen Denial of Service zu aktivieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.14.10
  • Zoom VDI Windows Meeting-Anwendung für Windows (32 Bit) vor 5.12.6
  • Zoom Rooms for Conference Room für Windows (32 Bit) vor Version 5.12.6
  • Lokaler virtueller Zoom Raum-Connector vor Version 4.4.6752.20210326
  • Lokaler virtueller Zoom Raum-Connector Load Balancer vor Version 2.5.5495.20210326
  • Chrome-Clients vor Version 3.3.1635.1130
  • Windows Zoom Room-Clients vor Version 4.1.6 (35121.1201)
  • Mac Zoom Room-Clients vor Version 4.1.7 (35123.1201)
  • Chrome Zoom Room-Clients vor Version 3.6.2895.1130
  • Windows-Zoom-SDK vor Version 4.1.30384.1029

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-23032 08/08/2023 Zoom-Anwendung für Windows – Unsachgemäße Eingabeprüfung Kritisch CVE-2023-39216

Schweregrad: Kritisch

CVSS-Ergebnis: 9.6

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Beschreibung: Die unsachgemäße Eingabevalidierung in der Zoom-Anwendung für Windows vor der Version 5.14.7 kann es einem nicht authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff eine Eskalation der Berechtigungen zu aktivieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.14.7

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-23031 08/08/2023 Zoom Clients – Clientseitige Durchsetzung der serverseitigen Sicherheit Kritisch CVE-2023-36535

Schweregrad: Kritisch

CVSS-Ergebnis: 7.1

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L

Beschreibung: Die clientseitige Durchsetzung der serverseitigen Sicherheit in den Zoom-Anwendungen vor Version 5.14.10 kann es einem authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff Informationen offenzulegen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Clients für Windows: vor Version 5.14.10
  • Zoom VDI Windows Meeting-Clients vor Version 5.12.2
  • Zoom Rooms für Konferenzräume (für Android, iOS, Linux, macOS und Windows) vor Version 5.12.2
  • Lokaler virtueller Zoom Raum-Connector vor Version 4.4.6620.20201110
  • Lokaler virtueller Zoom Raum-Connector Load Balancer vor Version 2.5.5495.20210326

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-23030 08/08/2023 Zoom-Anwendung für Windows – Path Traversal Kritisch CVE-2023-36534

Schweregrad: Kritisch

CVSS-Ergebnis: 9.3

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H

Beschreibung: Der Path Traversal in der Zoom-Anwendung für Windows vor der Version 5.14.7 kann es einem nicht authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff eine Eskalation der Berechtigungen zu aktivieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.14.7

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-23029 08/08/2023 Zoom SDKs – Unkontrollierter Ressourcennutzung Kritisch CVE-2023-36533

Schweregrad: Kritisch

CVSS-Ergebnis: 7.1

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H

Beschreibung: Die unkontrollierte Ressourcennutzung in Zoom SDKs vor Version 5.14.7 kann es einem nicht authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff einen Denial of Service zu aktivieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • SDK der Zoom-Anwendung für Windows: vor Version 5.14.7
  • Zoom VDI Windows Meeting-Clients vor Version 5.10.7
  • Zoom Rooms für Konferenzräume (für Android, iOS, Linux, macOS und Windows) vor Version 5.11.0
  • Lokaler virtueller Zoom Raum-Connector vor Version 4.4.6868.20210703
  • Lokaler virtueller Zoom Raum-Connector Load Balancer vor Version 2.5.5496.20210703

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-23028 08/08/2023 Zoom Clients – Pufferüberlauf Kritisch CVE-2023-36532

Schweregrad: Kritisch

CVSS-Ergebnis: 5.9

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Beschreibung: Der Pufferüberlauf in Zoom-Anwendungen vor Version 5.14.5 kann es einem nicht authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff einen Denial of Service zu aktivieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.14.5
  • Lokaler Zoom Meeting-Connector-MMR vor Version 4.6.360.20210325
  • Lokaler Zoom Aufzeichnungs-Connector vor Version 3.8.44.20210326
  • Lokaler virtueller Zoom Raum-Connector vor Version 4.4.6752.20210326
  • Lokaler virtueller Zoom Raum-Connector Load Balancer vor Version 2.5.5495.20210326

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-23027 08/08/2023 Zoom-Anwendung für Windows – Unzureichende Verifizierung der Datenechtheit Kritisch CVE-2023-36541

Schweregrad: Kritisch

CVSS-Ergebnis: 8

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Beschreibung: Die unzureichende Verifizierung der Datenechtheit in der Zoom-Anwendung für Windows vor Version 5.14.5 kann es einem authentifizierten Benutzer ermöglichen, über den Netzwerkzugriff eine Eskalation der Berechtigungen zu aktivieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.14.5

Quelle: Gemeldet von sim0nsecurity

ZSB-23026 08/08/2023 Zoom-Anwendung für Windows – Nicht vertrauenswürdiger Suchpfad Kritisch CVE-2023-36540

Schweregrad: Kritisch

CVSS-Ergebnis: 7.3

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Beschreibung: Der nicht vertrauenswürdige Suchpfad im Installationsprogramm der Zoom-Anwendung für Windows vor der Version 5.14.5 kann es einem authentifizierten Benutzer ermöglichen, über den lokalen Zugriff eine Eskalation der Berechtigungen zu aktiveren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom-Anwendung für Windows: vor Version 5.14.5

Quelle: Gemeldet von sim0nsecurity

ZSB-23024 07/11/2023 Unsachgemäße Zugriffssteuerung Kritisch CVE-2023-36538

Schweregrad: Kritisch

CVSS-Ergebnis: 8.4

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Beschreibung: Die unsachgemäße Zugriffssteuerung bei Zoom Rooms für Windows vor der Version 5.15.0 kann es einem authentifizierten Benutzer ermöglichen, über den lokalen Zugriff eine Eskalation der Berechtigungen zu aktiveren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Rooms für Windows: vor Version 5.15.0

Quelle: Gemeldet von sim0nsecurity

ZSB-23023 07/11/2023 Unsachgemäße Berechtigungsverwaltung Kritisch CVE-2023-36537

Schweregrad: Kritisch

CVSS-Ergebnis: 7.3

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Beschreibung: Die unsachgemäße Berechtigungsverwaltung bei Zoom Rooms für Windows vor der Version 5.14.5 kann es einem authentifizierten Benutzer ermöglichen, über den lokalen Zugriff eine Eskalation der Berechtigungen zu aktiveren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Rooms for Windows-Anwendungen vor Version 5.12.7

Quelle: Gemeldet von sim0nsecurity

ZSB-22033 01/06/2023 Path Traversal in Zoom for Android-Anwendungen Kritisch CVE-2022-36928

Schweregrad: Kritisch

CVSS-Ergebnis: 6.1

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N

Beschreibung: Zoom for Android-Anwendungen vor Version 5.13.0 haben eine Sicherheitslücke in Bezug auf Path Traversal. Eine Drittanbieter-App kann diese Sicherheitslücke ausnutzen, um Lese- und Schreibvorgänge im Zoom-Anwendungsdatenverzeichnis durchzuführen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom for Android-Anwendungen vor Version 5.13.0

Quelle: Gemeldet von Dimitrios Valsamaras von Microsoft

ZSB-22032 01/06/2023 Eskalation lokaler Berechtigungen in Zoom Rooms for macOS-Anwendungen Kritisch CVE-2022-36926
CVE-2022-36927

Schweregrad: Kritisch

CVSS-Ergebnis: 8.8

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschreibung: Zoom Rooms for macOS-Anwendungen vor Version 5.11.3 haben eine Sicherheitslücke in Bezug auf die Eskalation lokaler Berechtigungen. Ein lokaler Benutzer mit geringen Berechtigungen kann diese Sicherheitsanfälligkeit ausnutzen, um seine Berechtigungen bis auf die Root-Ebene zu eskalieren.
Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Rooms for macOS-Anwendungen vor Version 5.11.3

Quelle: Gemeldet von Kirin (Pwrin)

ZSB-22031 01/06/2023 Nicht sichere Schlüsselgenerierung für Zoom Rooms for macOS-Anwendungen Kritisch CVE-2022-36925

Schweregrad: Kritisch

CVSS-Ergebnis: 4.4

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

Beschreibung: Zoom Rooms for macOS-Anwendungen vor Version 5.11.4 haben einen nicht sicheren Mechanismus zur Schlüsselgenerierung. Der Verschlüsselungsschlüssel für IPC zwischen dem Daemon-Service von Zoom Rooms und dem Zoom Rooms-Gerät wurde mit Parametern generiert, die von einer lokalen Anwendung mit wenigen Berechtigungen abgerufen werden konnten. Dieser Schlüssel kann dann zum Interagieren mit dem Daemon-Service verwendet werden, um privilegierte Funktionen auszuführen und einen lokalen Denial of Service zu verursachen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Rooms for macOS vor Version 5.11.4

Quelle: Gemeldet von Kirin (Pwrin)

ZSB-22030 11/15/2022 Eskalation lokaler Berechtigungen im Zoom Rooms-Installationsprogramm für Windows Kritisch CVE-2022-36924

Schweregrad: Kritisch

CVSS-Ergebnis: 8.8

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschreibung: Das Zoom Rooms-Installationsprogramm für Windows vor Version 5.12.6 enthält eine Schwachstelle im Zusammenhang mit der lokalen Rechteeskalation. Ein lokaler Benutzer mit geringen Berechtigungen kann diese Schwachstelle während des Installationsvorgangs ausnutzen, um seine Berechtigungen bis zur Ebene SYSTEM-Benutzer zu eskalieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Rooms-Installationsprogramm für Windows vor Version 5.12.6

Quelle: Gemeldet von sim0nsecurity

ZSB-22029 11/15/2022 Eskalation lokaler Berechtigungen im Zoom Client-Installationsprogramm für macOS Kritisch CVE-2022-28768

Schweregrad: Kritisch

CVSS-Ergebnis: 8.8

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschreibung: Das Zoom Client for Meetings-Installationsprogramm für macOS (Standard und für IT-Administratoren) vor Version 5.12.6 enthält eine Schwachstelle im Zusammenhang mit lokaler Rechteeskalation. Ein lokaler Benutzer mit geringen Berechtigungen kann diese Schwachstelle während des Installationsvorgangs ausnutzen, um seine Berechtigungen bis auf die Root-Ebene zu eskalieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings-Installationsprogramm für macOS (Standard und für IT-Administratoren) vor Version 5.12.6

Quelle: Gemeldet von Koh M. Nakagawa (tsunekoh)

ZSB-22027 11/15/2022 DLL-Injektion in Zoom Windows-Clients Kritisch CVE-2022-28766

Schweregrad: Kritisch

CVSS-Ergebnis: 8.1

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L

Beschreibung: Windows-32-Bit-Versionen des Zoom Client for Meetings vor Version 5.12.6 und Zoom Rooms for Conference Room vor Version 5.12.6 sind für eine DLL-Injektionsschwachstelle anfällig. Ein lokaler Benutzer mit geringen Berechtigungen kann diese Schwachstelle ausnutzen, um beliebigen Code im Kontext der Zoom-Anwendung auszuführen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings für Windows (32 Bit) vor Version 5.12.6
  • Zoom VDI Windows Meeting-Anwendung für Windows (32 Bit) vor 5.12.6
  • Zoom Rooms for Conference Room für Windows (32 Bit) vor Version 5.12.6

Quelle: Gemeldet von sim0nsecurity

ZSB-22025 11/10/2022 Lokale Informationsoffenlegung in Zoom-Anwendungen Kritisch CVE-2022-28764

Schweregrad: Kritisch

CVSS-Ergebnis: 3.3

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Beschreibung: Der Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.12.6 ist anfällig für eine Schwachstelle, bei der lokale Informationen offengelegt werden.

Wenn Daten aus einer lokalen SQL-Datenbank nach Beendigung eines Meetings nicht gelöscht werden und zur Verschlüsselung dieser Datenbank ein nicht ausreichend sicherer gerätespezifischer Schlüssel verwendet wird, kann ein lokaler böswilliger Benutzer über dieses lokale Benutzerkonto Meeting-Informationen wie z. B. den Meeting-Chat für das zuvor besuchte Meeting abrufen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.12.6
  • Zoom VDI Windows Meeting-Client vor Version 5.12.6
  • Zoom Rooms für Konferenzräume (für Android, iOS, Linux, macOS und Windows) vor Version 5.12.6

Quelle: Gemeldet von Christian Zäske, SySS GmbH

ZSB-22024 10/24/2022 Unsachgemäßes URL-Parsing in Zoom Clients Kritisch CVE-2022-28763

Schweregrad: Kritisch

CVSS-Ergebnis: 8.8

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Beschreibung: Der Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.12.2 ist anfällig für eine URL-Parsing-Schwachstelle. Wenn eine schädliche Zoom-Meeting-URL geöffnet wird, kann der bösartige Link den Benutzer dazu verleiten, eine Verbindung zu einer beliebigen Netzwerkadresse herzustellen, was zu zusätzlichen Angriffen führt, einschließlich Sitzungsübernahmen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.12.2
  • Zoom VDI Windows Meeting-Clients vor Version 5.12.2
  • Zoom Rooms für Konferenzräume (für Android, iOS, Linux, macOS und Windows) vor Version 5.12.2

Quelle: Gemeldet vom Zoom Security Team

ZSB-22023 10/11/2022 Fehlkonfiguration des Debugports in Zoom Apps im Zoom Client for Meetings für macOS Kritisch CVE-2022-28762

Schweregrad: Kritisch

CVSS-Ergebnis: 7.3

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

Beschreibung: Zoom Client for Meetings für macOS (Standard und für IT-Administratoren) ab Version 5.10.6 und vor Version 5.12.0 enthält eine falsche Konfiguration des Debugging-Ports. Wenn der Kameramodus-Renderkontext als Teil der Zoom App Layers-API aktiviert ist, wird durch das Ausführen bestimmter Zoom Apps ein lokaler Debugport vom Zoom-Client geöffnet. Ein lokaler böswilliger Benutzer könnte diesen Debugport verwenden, um eine Verbindung zu den Zoom Apps, die im Zoom-Client ausgeführt werden, herzustellen und diese zu steuern.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings für macOS (Standard und für IT-Administratoren) ab Version 5.10.6 und vor Version 5.12.0

Quelle: Gemeldet vom Zoom Security Team

ZSB-22022 10/11/2022 Lokale Zoom-Bereitstellungen: Unsachgemäße Zugriffssteuerung Kritisch CVE-2022-28761

Schweregrad: Kritisch

CVSS-Ergebnis: 6.5

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Beschreibung: Der lokale Zoom Meeting-Connector MMR vor Version 4.8.20220916.131 enthält eine Schwachstelle bezüglich ungeeigneter Zugriffssteuerung. Daher kann ein böswilliger Akteur in einem Meeting oder einem Webinar, an dem er teilnehmen darf, verhindern, dass Teilnehmer Audio und Video empfangen, was zu Meeting-Unterbrechungen führt.

Für lokale Zoom-Bereitstellungen können IT-Administratoren dazu beitragen, ihre Zoom-Software auf dem neuesten Stand zu halten, indem sie die hier beschriebenen Maßnahmen befolgen: https://support.zoom.us/hc/en-us/articles/360043960031

Betroffene Produkte:

  • Lokaler Zoom Meeting-Connector MMR vor Version 4.8.20220916.131

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-22021 09/13/2022 Lokale Zoom-Bereitstellungen: Unsachgemäße Zugriffssteuerung Kritisch CVE-2022-28760

Schweregrad: Kritisch

CVSS-Ergebnis: 6.5

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Beschreibung: Der lokale Zoom Meeting-Connector MMR vor Version 4.8.20220815.130 enthält eine Schwachstelle bezüglich falscher Zugriffssteuerung. Infolgedessen kann ein böswilliger Akteur an einem Meeting teilnehmen, ohne für die anderen Teilnehmer sichtbar zu sein.

Für lokale Zoom-Bereitstellungen können IT-Administratoren dazu beitragen, ihre Zoom-Software auf dem neuesten Stand zu halten, indem sie die hier beschriebenen Maßnahmen befolgen: https://support.zoom.us/hc/en-us/articles/360043960031

Betroffene Produkte:

  • Lokaler Zoom Meeting-Connector-MMR vor Version 4.8.20220815.130

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-22020 09/13/2022 Lokale Zoom-Bereitstellungen: Unsachgemäße Zugriffssteuerung Kritisch CVE-2022-28758
CVE-2022-28759

Schweregrad: Kritisch

CVSS-Ergebnis: 8.2

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Beschreibung: Der lokale Zoom Meeting-Connector MMR vor Version 4.8.20220815.130 enthält eine Schwachstelle bezüglich falscher Zugriffssteuerung. Infolgedessen könnte ein böswilliger Akteur unberechtigten Zugriff auf die Audio- und Videospur eines Meetings erlangen und Meetings anderweitig stören.

Für lokale Zoom-Bereitstellungen können IT-Administratoren dazu beitragen, ihre Zoom-Software auf dem neuesten Stand zu halten, indem sie die hier beschriebenen Maßnahmen befolgen: https://support.zoom.us/hc/en-us/articles/360043960031

Betroffene Produkte:

  • Lokaler Zoom Meeting-Connector-MMR vor Version 4.8.20220815.130

Quelle: Gemeldet vom Zoom Security Team

ZSB-22019 08/17/2022 Eskalation lokaler Berechtigungen in Auto Updater für Zoom Client for Meetings für macOS Kritisch CVE-2022-28757

Schweregrad: Kritisch

CVSS-Ergebnis: 8.8

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschreibung: Der Zoom Client for Meetings für macOS (Standard und für IT-Administratoren) ab Version 5.7.3 und vor 5.11.6 enthält eine Schwachstelle im automatischen Update-Prozess. Ein lokaler Benutzer mit geringen Berechtigungen kann diese Sicherheitsanfälligkeit ausnutzen, um seine Berechtigungen bis auf die Root-Ebene zu eskalieren.

Hinweis: Dieses Problem ermöglicht eine Umgehung des in 5.11.5 veröffentlichten Patches, um CVE-2022-28756 zu beheben.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings für macOS (Standard und für IT-Administratoren) ab Version 5.7.3 und vor Version 5.11.6

Quelle: Berichtet von Csaba Fitzl (theevilbit) von Offensive Security

ZSB-22018 08/13/2022 Eskalation lokaler Berechtigungen in Auto Updater für Zoom-Produkte unter macOS [Updated 2022-09-13] Kritisch CVE-2022-28756

Schweregrad: Kritisch

CVSS-Ergebnis: 8.8

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschreibung: Der Zoom Client for Meetings für macOS (Standard und für IT-Administratoren) ab Version 5.7.3 und vor 5.11.5 sowie Zoom Rooms for Conference Room für macOS vor Version 5.11.6 enthalten eine Schwachstelle im automatischen Update-Prozess. Ein lokaler Benutzer mit geringen Berechtigungen kann diese Sicherheitsanfälligkeit ausnutzen, um seine Berechtigungen bis auf die Root-Ebene zu eskalieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

*Änderungen – 13.09.2022 – Titel und Beschreibung aktualisiert und Zoom Rooms zum Abschnitt „Betroffene Produkte“ hinzugefügt.

Betroffene Produkte:

  • Zoom Client for Meetings für macOS (Standard und für IT-Administratoren) ab Version 5.7.3 und vor Version 5.11.5
  • Zoom Rooms für Konferenzräume für macOS vor Version 5.11.6

Quelle: Gemeldet von Patrick Wardle von Objective-See

ZSB-22017 08/09/2022 Eskalation lokaler Berechtigungen im Zoom Client for Meetings für macOS Kritisch CVE-2022-28751

Schweregrad: Kritisch

CVSS-Ergebnis: 8.8

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Beschreibung: Der Zoom Client for Meetings für macOS (Standard und für IT-Administratoren) vor Version 5.11.3 enthält eine Schwachstelle in der Paketsignaturvalidierung während des Update-Prozesses. Ein lokaler Benutzer mit geringen Berechtigungen kann diese Sicherheitsanfälligkeit ausnutzen, um seine Berechtigungen bis auf die Root-Ebene zu eskalieren.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client für Meetings für macOS (Standard und für IT-Administratoren) vor Version 5.11.3

Quelle: Gemeldet von Patrick Wardle von Objective-See

ZSB-22014 08/09/2022 Lokale Zoom-Bereitstellungen: Unsachgemäße Zugriffssteuerung Kritisch CVE-2022-28753
CVE-2022-28754

Schweregrad: Kritisch

CVSS-Ergebnis: 7.1

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N

Beschreibung: Der lokale Zoom Meeting-Connector MMR vor Version 4.8.129.20220714 enthält eine Schwachstelle bezüglich falscher Zugriffssteuerung. Infolgedessen kann ein böswilliger Akteur an einem Meeting teilnehmen, ohne für die anderen Teilnehmer sichtbar zu sein, er kann sich aus dem Warteraum in das Meeting einlassen und Host werden sowie Meetings anderweitig stören.

Für lokale Zoom-Bereitstellungen können IT-Administratoren dazu beitragen, ihre Zoom-Software auf dem neuesten Stand zu halten, indem sie die hier beschriebenen Maßnahmen befolgen: https://support.zoom.us/hc/en-us/articles/360043960031

Betroffene Produkte:

  • Lokaler Zoom Meeting-Connector-MMR vor Version 4.8.129.20220714

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-22016 08/09/2022 Unsachgemäßes URL-Parsing in Zoom Clients [Updated 2022-10-24] Kritisch CVE-2022-28755

Schweregrad: Kritisch

CVSS-Ergebnis: 9.6

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Beschreibung: Der Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.11.0 ist anfällig für eine URL-Parsing-Schwachstelle. Wenn eine schädliche Zoom-Meeting-URL geöffnet wird, kann der bösartige Link den Benutzer dazu verleiten, eine Verbindung zu einer beliebigen Netzwerkadresse herzustellen, was zu zusätzlichen Angriffen führt, einschließlich des Potenzials für die Remote-Code-Ausführung durch das Starten von ausführbaren Dateien aus beliebigen Pfaden.

*Änderungen – 24.10.2022 – Zoom Rooms zum Abschnitt „Betroffene Produkte“ hinzugefügt.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.11.0

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-22012 08/09/2022 Lokale Zoom-Bereitstellungen: Stapelpufferüberlauf in Meeting-Connector Kritisch CVE-2022-28750

Schweregrad: Kritisch

CVSS-Ergebnis: 7.5

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Beschreibung: Der lokale Zoom Meeting-Connector Zone Controller (ZC) vor Version 4.8.20220419.112 analysiert STUN-Fehlercodes nicht ordnungsgemäß, was zu Speicherbeschädigungen führen und es einem böswilligen Akteur ermöglichen kann, die Anwendung zum Absturz zu bringen. In Versionen, die älter als 4.8.12.20211115 sind, kann diese Sicherheitsanfälligkeit auch ausgenutzt werden, um beliebigen Code auszuführen.

Für lokale Zoom-Bereitstellungen können IT-Administratoren dazu beitragen, ihre Zoom-Software auf dem neuesten Stand zu halten, indem sie die hier beschriebenen Maßnahmen befolgen:
https://support.zoom.us/hc/en-us/articles/360043960031

Betroffene Produkte:

  • Lokaler Zoom Meeting-Connector Zone Controller (ZC) vor Version 4.8.20220419.112

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB-22011 06/14/2022 Unzureichende Autorisierungsprüfung bei Meeting-Beitritt Kritisch CVE-2022-28749

Schweregrad: Kritisch

CVSS-Ergebnis: 6.5

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Beschreibung: Der lokale Zoom Meeting-Connector-MMR vor Version 4.8.113.20220526 prüft die Berechtigungen von Zoom Meeting-Teilnehmern nicht ausreichend. Dadurch kann ein böswilliger Akteur im Zoom Warteraum ohne Zustimmung des Hosts am Meeting teilnehmen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Lokaler Zoom Meeting-Connector vor Version 4.8.113.20220526

Quelle: Gemeldet vom Zoom Offensive Security Team

ZSB- 22010 06/14/2022 DLL-Injektion in Zoom Opener-Installer für Zoom Clients und Zoom Rooms-Geräte Kritisch CVE-2022-22788

Schweregrad: Kritisch

CVSS-Ergebnis: 7.1

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

Beschreibung: Benutzer laden den Zoom Opener-Installer von der Seite „Meeting starten“ herunter, wenn sie versuchen, ohne installierten Zoom Meeting-Client an einem Meeting teilzunehmen. Der Zoom Opener Installer für den Zoom Client for Meetings vor Version 5.10.3 und Zoom Rooms für Konferenzräume für Windows vor Version 5.10.3 ist anfällig für eine DLL-Injektion. Diese Schwachstelle könnte ausgenutzt werden, um beliebigen Code auf dem Host des Opfers auszuführen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie ältere Versionen des Zoom Opener-Installers löschen und die aktuelle Version des Zoom Opener-Installers über die Schaltfläche „Jetzt herunterladen“ auf der Seite „Meeting starten“ ausführen. Als weitere Sicherheitsmaßnahme können Benutzer unter https://zoom.us/download die neueste Zoom Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings für Windows vor Version 5.10.3
  • Alle Zoom Rooms für Konferenzräume für Windows vor Version 5.10.3

Quelle: Gemeldet von James Tsz Ko Yeung

ZSB-22009 05/17/2022 Unzureichende Überprüfung des Hostnamens beim Serverwechsel auf dem Zoom Client for Meetings Kritisch CVE-2022-22787

Schweregrad: Kritisch

CVSS-Ergebnis: 5.9

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Beschreibung: Der Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.10.0 kann den Hostnamen bei einer Serverwechselanforderung nicht ordnungsgemäß überprüfen. Dieses Problem könnte in einem komplexen Angriff genutzt werden, um den Client eines arglosen Benutzers bei der Nutzung von Zoom Diensten mit einem manipulierten Server zu verbinden.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.10.0

Quelle: Gemeldet von Ivan Fratric von Google Project Zero

ZSB-22008 05/17/2022 Herabstufung des Updatepakets in Zoom Client for Meetings für Windows Kritisch CVE-2022-22786

Schweregrad: Kritisch

CVSS-Ergebnis: 7.5

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Beschreibung: Der Zoom Client for Meetings für Windows vor Version 5.10.0 und Zoom Rooms für Konferenzräume für Windows vor Version 5.10.0 können die Installationsversion während des Aktualisierungsprozesses nicht ordnungsgemäß prüfen. Dieses Problem könnte in einem komplexen Angriff genutzt werden, um den Zoom Client eines Benutzers auf eine unsicherere Version herabzustufen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Alle Versionen des Zoom Client for Meetings für Windows vor Version 5.10.0
  • Alle Zoom Rooms für Konferenzräume für Windows vor Version 5.10.0

Quelle: Gemeldet von Ivan Fratric von Google Project Zero

ZSB-22007 05/17/2022 Nicht ordnungsgemäß eingeschränkte Sitzungscookies in Zoom Client for Meetings Kritisch CVE-2022-22785

Schweregrad: Kritisch

CVSS-Ergebnis: 5.9

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Beschreibung: Der Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.10.0 kann Client-Sitzungscookies auf Zoom-Domains nicht ordnungsgemäß beschränken. Dieses Problem könnte in einem komplexen Angriff genutzt werden, um die Zoom-Sitzungscookies eines Benutzers an eine Domain außerhalb von Zoom zu senden. Dies könnte möglicherweise das Spoofing eines Zoom-Benutzers ermöglichen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.10.0

Quelle: Gemeldet von Ivan Fratric von Google Project Zero

ZSB- 22006 05/17/2022 Fehlerhaftes XML-Parsing in Zoom Client for Meetings Kritisch CVE-2022-22784

Schweregrad: Kritisch

CVSS-Ergebnis: 8.1

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Beschreibung: Der Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.10.0 kann XML-Sätze in XMPP-Nachrichten nicht ordnungsgemäß parsen. Dadurch kann ein böswilliger Benutzer aus dem aktuellen XMPP-Nachrichtenkontext ausbrechen, einen neuen Nachrichtenkontext erstellen und den Client des empfangenden Benutzers zur Ausführung einer Reihe von Aktionen zu zwingen. Dieses Problem könnte in einem komplexen Angriff genutzt werden, um XMPP-Nachrichten vom Server zu fälschen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.10.0

Quelle: Gemeldet von Ivan Fratric von Google Project Zero

ZSB- 22005 04/27/2022 Verarbeitungsspeicheroffenlegung in lokalen Zoom Meeting-Diensten Kritisch CVE-2022-22783

Schweregrad: Kritisch

CVSS-Ergebnis: 8.3

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/CR:H

Beschreibung: Eine Schwachstelle des lokalen Zoom Meeting-Connector-Controllers der Version 4.8.102.20220310 und des lokalen Meeting-Connectors MMR Version 4.8.102.20220310 legt Fragmente des Verarbeitungsspeichers für verbundene Clients offen, die von einem passiven Angreifer beobachtet werden könnten.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder die neueste Zoom Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Lokaler Zoom Meeting-Connector-Controller Version 4.8.102.20220310
  • Lokaler Zoom Meeting-Connector-MMR Version 4.8.102.20220310

Quelle: Zoom Offensive Security Team

ZSB-22004 04/27/2022 Lokale Rechteeskalation in Windows Zoom Clients Kritisch CVE-2022-22782

Schweregrad: Kritisch

CVSS-Ergebnis: 7.9

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

Beschreibung: Der Versionen des Zoom Client for Meetings für Windows vor Version 5.9.7, des Zoom Rooms für Konferenzräume für Windows vor Version 5.10.0, des Zoom Plugins für Microsoft Outlook für Windows vor Version 5.10.3 und des Zoom VDI Windows Meeting Clients vor Version 5.9.6; waren während der Reparatur des Installationsprogramms anfällig für ein lokales Rechteeskalationsproblem. Ein böswilliger Akteur könnte das ausnutzen, um Dateien oder Ordner auf Systemebene zu löschen, was zu Integritäts- oder Verfügbarkeitsproblemen auf dem Hostcomputer des Benutzers führen könnte.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Alle Versionen von Zoom Client for Meetings für Windows vor Version 5.9.7
  • Alle Versionen von Zoom Rooms für Konferenzräume für Windows vor Version 5.10.0
  • Alle Versionen von Zoom Plugins für Microsoft Outlook für Windows vor Version 5.10.3
  • Alle Versionen von Zoom VDI Windows Meeting-Client vor Version 5.9.6

Quelle: Gemeldet von der Zero Day Initiative

ZSB-22003 04/27/2022 Herabstufung des Updatepakets in Zoom Client for Meetings für macOS Kritisch CVE-2022-22781

Schweregrad: Kritisch

CVSS-Ergebnis: 7.5

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Beschreibung: Der Zoom Client for Meetings für macOS (Standard und für IT-Administratoren) vor Version 5.9.6 konnte die Paketversion während des Aktualisierungsvorgangs nicht ordnungsgemäß überprüfen. Dies könnte dazu führen, dass ein böswilliger Akteur die aktuell installierte Version eines ahnungslosen Benutzers auf eine weniger sichere Version aktualisiert.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Alle Versionen von Zoom Client for Meetings für macOS (Standard und für IT-Administratoren) vor Version 5.9.6

Quelle: Gemeldet von Patrick Wardle von Objective-See

ZSB-22002 02/08/2022 Zoom Team Chat anfällig für Archivbomben Kritisch CVE-2022-22780

Schweregrad: Kritisch

CVSS-Ergebnis: 4.7

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L

Beschreibung: Die Zoom Client for Meetings-Chatfunktion war in den folgenden Produktversionen anfällig für Archivbombenangriffe: Android-Versionen älter als 5.8.6, iOS-Versionen älter als 5.9.0, Linux-Versionen älter als 5.8.6, macOS-Versionen älter als 5.7.3 und Windows-Versionen älter als 5.6.3. Dies konnte zu Verfügbarkeitsproblemen auf dem Client-Host führen, da die Systemressourcen ausgeschöpft wurden.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Alle Versionen von Zoom Client for Meetings für Android vor Version 5.8.6
  • Alle Versionen von Zoom Client for Meetings für iOS vor Version 5.9.0
  • Alle Versionen von Zoom Client for Meetings für Linux vor Version 5.8.6
  • Alle Versionen von Zoom Client for Meetings für macOS vor Version 5.7.3
  • Alle Versionen von Zoom Client for Meetings für Windows vor Version 5.6.3

Quelle: Gemeldet von Johnny Yu von Walmart Global Tech

ZSB-22001 02/08/2022 Gespeicherte selbstzerstörte Nachrichten in Keybase Clients für macOS und Windows Kritisch CVE-2022-22779

Schweregrad: Kritisch

CVSS-Ergebnis: 3.7

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Beschreibung: Keybase Clients für macOS und Windows vor Version 5.9.0 konnten von einem Benutzer initiierte selbstzerstörte Nachrichten nicht ordnungsgemäß entfernen. Dies kann auftreten, wenn der empfangende Benutzer zu einer Nicht-Chatfunktion wechselt und den Host in den Ruhemodus versetzt, bevor der Benutzer die Nachrichten zerstören lässt. Dies könnte zur Offenlegung vertraulicher Informationen führen, die eigentlich vom Dateisystem eines Benutzers gelöscht werden sollten.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://keybase.io/download die neueste Keybase-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Alle Keybase Clients für macOS und Windows vor Version 5.9.0

Quelle: Gemeldet von Olivia O'Hara

ZSB-21022 12/14/2021 Ausführung willkürlicher Befehle in Keybase Client für Windows Kritisch CVE-2021-34426

Schweregrad: Kritisch

CVSS-Ergebnis: 5.3

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

Beschreibung: Im Keybase Client für Windows vor Version 5.6.0 wurde eine Schwachstelle entdeckt, als ein Benutzer den Befehl „keybase git lfs-config“ über die Befehlszeile durchgeführt hat. In Versionen vor 5.6.0 konnte ein böswilliger Akteur mit Schreibzugriff auf ein Git-Repository eines Benutzers diese Schwachstelle ausnutzen, um möglicherweise beliebige Windows-Befehle auf dem lokalen System eines Benutzers auszuführen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://keybase.io/download die neueste Keybase-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Alle Keybase Clients für Windows vor Version 5.6.0

Quelle: Gemeldet von RyotaK

ZSB-21021 12/14/2021 Server-Side-Request-Forgery im Chat des Zoom Client for Meetings Kritisch CVE-2021-34425

Schweregrad: Kritisch

CVSS-Ergebnis: 4.7

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N

Beschreibung: Der Zoom Client for Meetings enthält vor Version 5.7.3 (für Android, iOS, Linux, macOS und Windows) eine Schwachstelle für Server-Side-Request-Forgery in der Linkvorschau-Funktion des Chats. Wenn ein Benutzer in Versionen vor 5.7.3 die Linkvorschau-Funktion des Chats aktiviert, kann ein böswilliger Akteur den Benutzer dazu verleiten, willkürliche HTTP GET-Anfragen an URLs zu senden, die der Akteur nicht direkt erreichen kann.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Alle Versionen des Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.7.3

Quelle: Gemeldet von Johnny Yu von Walmart Global Tech

ZSB-21020 11/24/2021 Prozessspeicheroffenlegung in Zoom Client und anderen Produkten Kritisch CVE-2021-34424

Schweregrad: Kritisch

CVSS-Ergebnis: 5.3

CVSS-Vektorstring: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Beschreibung: Bei den Produkten, die im Abschnitt „Betroffene Produkte“ dieses Bulletins gelistet sind, wurde eine Schwachstelle entdeckt, die möglicherweise die Offenlegung des Prozessspeicherzustands zulässt. Diese Lücke könnte ausgenutzt werden, um möglicherweise Einblick in beliebige Bereiche des Produktspeichers zu erhalten.

Zoom hat dieses Problem in den neuesten Versionen der im folgenden Abschnitt aufgeführten Produkte behoben. Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder die neueste Zoom Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.8.4
  • Zoom Client for Meetings für Blackberry (für Android und iOS) vor Version 5.8.1
  • Zoom Client for Meetings für intune (für Android und iOS) vor Version 5.8.4
  • Zoom Client for Meetings für Chrome OS vor Version 5.0.1
  • Zoom Rooms für Konferenzräume (für Android, AndroidBali, macOS und Windows) vor Version 5.8.3
  • Controller für Zoom Rooms (für Android, iOS und Windows) vor Version 5.8.3
  • Zoom VDI Windows Meeting-Client vor Version 5.8.4
  • Zoom VDI Azure Virtual-Desktop-Plug-ins (für Windows x86 oder x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) vor Version 5.8.4.21112
  • Zoom VDI Citrix Plugins (für Windows x86 oder x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) vor Version 5.8.4.21112
  • Zoom VDI VMware Plugins (für Windows x86 oder x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) vor Version 5.8.4.21112
  • Zoom Meeting SDK für Android vor Version 5.7.6.1922
  • Zoom Meeting SDK für iOS vor Version 5.7.6.1082
  • Zoom Meeting SDK für Windows vor Version 5.7.6.1081
  • Zoom Meeting SDK für Mac vor Version 5.7.6.1340
  • Zoom Video SDK (für Android, iOS, macOS und Windows) vor Version 1.1.2
  • Lokaler Zoom Meeting-Connector vor Version 4.8.12.20211115
  • Lokaler Zoom Meeting-Connector-MMR vor Version 4.8.12.20211115
  • Lokaler Zoom Aufzeichnungs-Connector vor Version 5.1.0.65.20211116
  • Lokaler virtueller Zoom Raum-Connector vor Version 4.4.7266.20211117
  • Lokaler virtueller Zoom Raum-Connector Load Balancer vor Version 2.5.5692.20211117
  • Zoom Hybrid Zproxy vor Version 1.0.1058.20211116
  • Zoom Hybrid MMR vor Version 4.6.20211116.131_x86-64

Quelle: Gemeldet von Natalie Silvanovich von Google Project Zero

ZSB-21019 11/24/2021 Pufferüberlauf in Zoom Client und anderen Produkten Kritisch CVE-2021-34423

Schweregrad: Kritisch

CVSS-Ergebnis: 7.3

CVSS-Vektorstring: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Beschreibung: Bei den Produkten, die im Abschnitt „Betroffene Produkte“ dieses Bulletins gelistet sind, wurde eine Schwachstelle bezüglich Pufferüberlauf entdeckt. Dies kann möglicherweise dazu führen, dass ein böswilliger Akteur den Dienst oder die Anwendung zum Absturz bringt oder diese Schwachstelle ausnutzt, um beliebigen Code auszuführen.

Zoom hat dieses Problem in den neuesten Versionen der im folgenden Abschnitt aufgeführten Produkte behoben. Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder die neueste Zoom Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings (für Android, iOS, Linux, macOS und Windows) vor Version 5.8.4
  • Zoom Client for Meetings für Blackberry (für Android und iOS) vor Version 5.8.1
  • Zoom Client for Meetings für intune (für Android und iOS) vor Version 5.8.4
  • Zoom Client for Meetings für Chrome OS vor Version 5.0.1
  • Zoom Rooms für Konferenzräume (für Android, AndroidBali, macOS und Windows) vor Version 5.8.3
  • Controller für Zoom Rooms (für Android, iOS und Windows) vor Version 5.8.3
  • Zoom VDI Windows Meeting-Client vor Version 5.8.4
  • Zoom VDI Azure Virtual-Desktop-Plug-ins (für Windows x86 oder x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) vor Version 5.8.4.21112
  • Zoom VDI Citrix Plugins (für Windows x86 oder x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) vor Version 5.8.4.21112
  • Zoom VDI VMware Plugins (für Windows x86 oder x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) vor Version 5.8.4.21112
  • Zoom Meeting SDK für Android vor Version 5.7.6.1922
  • Zoom Meeting SDK für iOS vor Version 5.7.6.1082
  • Zoom Meeting SDK für macOS vor Version 5.7.6.1340
  • Zoom Meeting SDK für Windows vor Version 5.7.6.1081
  • Zoom Video SDK (für Android, iOS, macOS und Windows) vor Version 1.1.2
  • Lokaler Zoom Meeting-Connector-Controller vor Version 4.8.12.20211115
  • Lokaler Zoom Meeting-Connector-MMR vor Version 4.8.12.20211115
  • Lokaler Zoom Aufzeichnungs-Connector vor Version 5.1.0.65.20211116
  • Lokaler virtueller Zoom Raum-Connector vor Version 4.4.7266.20211117
  • Lokaler virtueller Zoom Raum-Connector Load Balancer vor Version 2.5.5692.20211117
  • Zoom Hybrid Zproxy vor Version 1.0.1058.20211116
  • Zoom Hybrid MMR vor Version 4.6.20211116.131_x86-64

Quelle: Quelle: Gemeldet von Natalie Silvanovich von Google Project Zero

ZSB-21018 11/09/2021 Path-Traversal von Dateinamen im Keybase Client für Windows Kritisch CVE-2021-34422

Schweregrad: Kritisch

CVSS-Ergebnis: 7.2

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

Beschreibung: Der Keybase Client für Windows vor Version 5.7.0 enthält eine Path-Traversal-Schwachstelle, wenn der Name einer Datei überprüft wird, die in einen Team-Ordner hochgeladen wurde. Ein böswilliger Benutzer könnte eine Datei in einen freigegebenen Ordner mit einem speziell gestalteten Dateinamen hochladen, der einen Benutzer dazu bringen könnte, eine Anwendung auszuführen, die nicht auf seinem Host-Computer vorgesehen war. Wenn ein böswilliger Benutzer dieses Problem mit der Freigabefunktion für öffentliche Ordner des Keybase Clients ausnutzt, kann dies zu einer Remote-Codeausführung führen.

Keybase hat dieses Problem in Version 5.7.0 des Keybase Clients für Windows behoben. Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://keybase.io/download die neueste Keybase-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Keybase Client für Windows vor Version 5.7.0

Quelle: Gemeldet von m4t35z

ZSB-21017 11/09/2021 Gespeicherte selbstzerstörte Nachrichten in Keybase Clients für Android und iOS Kritisch CVE-2021-34421

Schweregrad: Kritisch

CVSS-Ergebnis: 3.7

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Beschreibung: Der Keybase Client für Android vor Version 5.8.0 und der Keybase Client für iOS vor Version 5.8.0 können selbstzerstörende Nachrichten nicht ordnungsgemäß entfernen, wenn der empfangende Benutzer die Chatsitzung in den Hintergrund platziert, während der sendende Benutzer die Nachrichten zerstören lässt. Dies könnte zur Offenlegung sensibler Informationen führen, die eigentlich vom Gerät des Kunden gelöscht werden sollten.

Keybase hat dieses Problem in Version 5.8.0 des Keybase Clients für Android und 5.8.0 des Keybase Clients für iOS behoben. Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://keybase.io/download die neueste Keybase-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Alle Keybase Clients für Android vor Version 5.8.0
  • Alle Keybase Clients für iOS vor Version 5.8.0

Quelle: Gemeldet von Olivia O'Hara, John Jackson, Jackson Henry und Robert Willis

ZSB-21016 11/09/2021 Umgehung der Signatur für Windows-Installationsdateien von Zoom Kritisch CVE-2021-34420

Schweregrad: Kritisch

CVSS-Ergebnis: 4.7

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N

Beschreibung: Das Installationsprogramm für den Zoom Client for Meetings für Windows vor Version 5.5.4 überprüft die Signatur von Dateien mit den Erweiterungen .msi, .ps1 und .bat nicht ordnungsgemäß. Dies könnte dazu führen, dass ein böswilliger Akteur Schadsoftware auf dem Computer des Kunden installiert.

Zoom hat dieses Problem in Version 5.5.4 des Zoom Client for Meetings für Windows behoben. Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Alle Versionen des Zoom Client for Meetings für Windows vor Version 5.5.4

Quelle: Gemeldet von Laurent Delosieres von ManoMano

ZSB-21015 11/09/2021 HTML-Injektion im Zoom Linux-Client Kritisch CVE-2021-34419

Schweregrad: Kritisch

CVSS-Ergebnis: 3.7

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

Beschreibung: Im Zoom Client for Meetings für Ubuntu Linux vor Version 5.1.0 liegt beim Senden einer Remote-Steuerungsanforderung an einen Benutzer im Prozess der Bildschirmfreigabe im Meeting ein HTML-Injektionsfehler vor. Auf diese Weise könnten Meeting-Teilnehmer zum Ziel von Social-Engineering-Angriffen werden.

Zoom hat dieses Problem in Version 5.1.0 des Zoom Client for Meetings für Ubuntu Linux behoben. Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings für Ubuntu Linux vor Version 5.1.0

Quelle: Gemeldet von Danny de Weille und Rick Verdoes von hackdefense

ZSB-21014 11/09/2021 Nullzeiger-Absturz vor Authentifizierung in der lokalen Webkonsole Kritisch CVE-2021-34418

Schweregrad: Kritisch

CVSS-Ergebnis: 4.0

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Beschreibung: Bei den Produkten, die im Abschnitt „Betroffene Produkte“ dieses Bulletins gelistet sind, scheitert der Anmeldedienst der Webkonsole bei der Validierung des während der Authentifizierung gesendeten NULL-Bytes. Dies könnte zu einem Absturz des Anmeldedienstes führen.

Betroffene Produkte:

  • Lokaler Zoom Meeting-Connector-Controller vor Version 4.6.239.20200613
  • Lokaler Zoom Meeting-Connector-MMR vor Version 4.6.239.20200613
  • Lokaler Zoom Aufzeichnungs-Connector vor Version 3.8.42.20200905
  • Lokaler virtueller Zoom Raum-Connector vor Version 4.4.6344.20200612
  • Lokaler virtueller Zoom Raum-Connector Load Balancer vor Version 2.5.5492.20200616

Quelle: Gemeldet von Jeremy Brown

ZSB-21013 11/09/2021 Authentifizierte Remote-Befehlsausführung mit Root-Rechten über die Webkonsole in MMR Kritisch CVE-2021-34417

Schweregrad: Kritisch

CVSS-Ergebnis: 7.9

CVSS-Vektorstring: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N

Beschreibung: Bei den Produkten, die im Abschnitt „Betroffene Produkte“ dieses Bulletins gelistet sind, scheitert die Netzwerk-Proxy-Seite im Web Portal bei der Validierung der Eingabe bei Anfragen für das Festlegen des Netzwerk-Proxy-Passworts. Dies könnte zu einer Remote-Befehlsinjektion durch einen Administrator des Web Portals führen.

Betroffene Produkte:

  • Lokaler Zoom Meeting-Connector-Controller vor Version 4.6.365.20210703
  • Lokaler Zoom Meeting-Connector-MMR vor Version 4.6.365.20210703
  • Lokaler Zoom Aufzeichnungs-Connector vor Version 3.8.45.20210703
  • Lokaler virtueller Zoom Raum-Connector vor Version 4.4.6868.20210703
  • Lokaler virtueller Zoom Raum-Connector Load Balancer vor Version 2.5.5496.20210703

Quelle: Gemeldet von Jeremy Brown

ZSB-21012 09/30/2021 Remote-Codeausführung für lokale Images über das Web Portal Kritisch CVE-2021-34416

Schweregrad: Kritisch

CVSS-Ergebnis: 5.5

CVSS-Vektorstring: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N

Beschreibung: Das Web Portal für administrative Netzwerkadressen-Einstellungen für den lokalen Zoom Meeting Connector vor Version 4.6.360.20210325, die lokale Zoom Meeting-Connector MMR vor Version 4.6.360.20210325, den lokalen Zoom Aufzeichnungs-Connector vor Version 3.8.44.20210326, den lokalen virtuellen Zoom Raum-Connector vor Version 4.4.6752.20210326 und den lokalen virtuellen Zoom Raum-Connector Load Balancer vor Version 2.5.5495.20210326 können Eingaben, die in Anforderungen zur Aktualisierung der Netzwerkkonfiguration gesendet wurden, nicht validieren. Dies kann zu einer Remote-Befehlsinjektion für das lokale Image durch die Administratoren des Web Portals führen.

Betroffene Produkte:

  • Lokaler Zoom Meeting-Connector vor Version 4.6.360.20210325
  • Lokaler Zoom Meeting-Connector-MMR vor Version 4.6.360.20210325
  • Lokaler Zoom Aufzeichnungs-Connector vor Version 3.8.44.20210326
  • Lokaler virtueller Zoom Raum-Connector vor Version 4.4.6752.20210326
  • Lokaler virtueller Zoom Raum-Connector Load Balancer vor Version 2.5.5495.20210326

Quelle: Gemeldet von Egor Dimitrenko von Positive Technologies

ZSB-21011 09/30/2021 ZC-Absturz mit PDU, der viele Zuordnungen verursacht Kritisch CVE-2021-34415

Schweregrad: Kritisch

CVSS-Ergebnis: 7.5

CVSS-Vektorstring: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Beschreibung: Der Zone Controller-Dienst im lokalen Zoom Meeting-Connector-Controller vor Version 4.6.358.20210205 überprüft das in eingehenden Netzwerkpaketen gesendete cnt-Feld nicht, was zur Erschöpfung der Ressourcen und zum Systemabsturz führt.

Betroffene Produkte:

  • Lokaler Zoom Meeting-Connector-Controller vor Version 4.6.358.20210205

Quelle: Gemeldet von Nikita Abramov von Positive Technologies

ZSB-21010 09/30/2021 Remote-Codeausführung für Meeting-Connector-Server über Web Portal-Netzwerk-Proxy-Konfiguration Kritisch CVE-2021-34414

Schweregrad: Kritisch

CVSS-Ergebnis: 7.2

CVSS-Vektorstring: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Beschreibung: Die Netzwerk-Proxy-Seite im Web Portal für den lokalen Zoom Meeting-Connector-Controller vor Version 4.6.348.20201217, die lokale Zoom Meeting-Connector MMR vor Version 4.6.348.20201217, den lokalen Zoom Aufzeichnungs-Connector vor Version 3.8.42.20200905, den lokalen virtuellen Zoom Raum-Connector vor Version 4.4.6620.20201110 und den lokalen virtuellen Zoom Raum-Connector Load Balancer vor Version 2.5.5495.20210326 kann Eingaben, die in Anforderungen zur Aktualisierung der Netzwerk-Proxy-Konfiguration gesendet wurden, nicht validieren. Dies kann zu einer Remote-Befehlsinjektion für das lokale Image durch einen Administrator des Web Portals führen.

Betroffene Produkte:

  • Lokaler Zoom Meeting-Connector-Controller vor Version 4.6.348.20201217
  • Lokaler Zoom Meeting-Connector-MMR vor Version 4.6.348.20201217
  • Lokaler Zoom Aufzeichnungs-Connector vor Version 3.8.42.20200905
  • Lokaler virtueller Zoom Raum-Connector vor Version 4.4.6620.20201110
  • Lokaler virtueller Zoom Raum-Connector Load Balancer vor Version 2.5.5495.20210326

Quelle: Gemeldet von Egor Dimitrenko von Positive Technologies

ZSB-21009 09/30/2021 Zoom macOS Outlook Plug-in-Installer – lokale Rechteeskalation Kritisch CVE-2021-34413

Schweregrad: Kritisch

CVSS-Ergebnis: 2.8

CVSS-Vektorstring: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N

Beschreibung: Alle Versionen des Zoom-Plug-ins für Microsoft Outlook für macOS vor 5.3.52553.0918 enthalten eine Time-of-Check-Time-of-Use-Schwachstelle (TOC/TOU) während der Plug-in-Installation. Dies könnte es einem Standardbenutzer ermöglichen, seine eigene bösartige Anwendung in das Plug-in-Verzeichnis zu schreiben, sodass die bösartige Anwendung in einem privilegierten Kontext ausgeführt werden kann.

Betroffene Produkte:

  • Alle Versionen des Zoom-Plug-ins für Microsoft Outlook für macOS vor 5.3.52553.0918

Quelle: Gemeldet vom Lockheed Martin Red Team

ZSB-21008 09/30/2021 Zoom für Windows-Installer – lokale Rechteeskalation Kritisch CVE-2021-34412

Schweregrad: Kritisch

CVSS-Ergebnis: 4.4

CVSS-Vektorstring: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Beschreibung: Während der Installation für alle Versionen des Zoom Client for Meetings für Windows vor 5.4.0 ist es möglich, den Internet Explorer zu starten. Wenn das Installationsprogramm mit erhöhten Rechten gestartet wurde, z. B. durch SCCM, kann dies zu einer lokalen Rechteeskalation führen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client for Meetings für Windows vor Version 5.4.0

Quelle: Gemeldet vom Lockheed Martin Red Team

ZSB-21007 09/30/2021 Zoom Rooms-Installer – lokale Rechteeskalation Kritisch CVE-2021-34411

Schweregrad: Kritisch

CVSS-Ergebnis: 4.4

CVSS-Vektorstring: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Beschreibung: Während der Installation für Zoom Rooms für Konferenzräume für Windows vor Version 5.3.0 ist es möglich, den Internet Explorer mit erhöhten Rechten zu starten. Wenn das Installationsprogramm mit erhöhten Rechten gestartet wurde, z. B. durch SCCM, kann dies zu einer lokalen Rechteeskalation führen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Rooms für Konferenzräume für Windows vor Version 5.3.0
  • Zoom Rooms für Konferenz Version 5.1.0

Quelle: Gemeldet vom Lockheed Martin Red Team

ZSB-21004 09/30/2021 Zoom MSI-Installer – erhöhter Schreibzugriff mit einer Junction Kritisch CVE-2021-34408

Schweregrad: Kritisch

CVSS-Ergebnis: 7.0

CVSS-Vektorstring: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Beschreibung: Ein vom Benutzer beschreibbares Verzeichnis, das während der Installation einer Version des Zoom Client for Meetings für Windows vor Version 5.3.2 erstellt wurde, kann über eine Junction an einen anderen Speicherort umgeleitet werden. Dadurch könnte ein Angreifer Dateien überschreiben, die ein eingeschränkter Benutzer andernfalls nicht ändern könnte.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client für Meetings für Windows vor Version 5.3.2

Quelle: Gemeldet vom Lockheed Martin Red Team

ZSB-21003 09/30/2021 Umgehung digitaler Signaturen im Zoom Installer für Windows Kritisch CVE-2021-33907

Schweregrad: Kritisch

CVSS-Ergebnis: 7.0

CVSS-Vektorstring: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H/MPR:N/MUI:R/MS:U/MC:H/MI:H/MA:H

Beschreibung: Der Zoom Client für Meetings für Windows in allen Versionen vor 5.3.0 kann die Zertifikatinformationen, die zum Signieren von .msi-Dateien verwendet werden, nicht ordnungsgemäß überprüfen, wenn ein Update des Clients durchgeführt wird. Dies kann zur Remote-Codeausführung mit erhöhten Berechtigungen führen.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Alle Versionen des Zoom Client for Meetings für Windows vor Version 5.3.0

Quelle: Gemeldet vom Lockheed Martin Red Team

ZSB-21002 08/13/2021 Heap-Überlauf wegen ungeprüftem Schreibvorgang in statischen Puffer durch XMPP-Nachricht Kritisch CVE-2021-30480

Schweregrad: Kritisch

CVSS-Ergebnis: 8.1

CVSS-Vektorstring: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H

Beschreibung: In allen Desktop-Versionen von Zoom Client for Meetings vor Version 5.6.3 kommt es zu einem Heap-basierten Pufferüberlauf. Dieses Problem wurde Zoom im Rahmen der Pwn20wn 2021 in Vancouver gemeldet. Die auf der Pwn20wn demonstrierte Angriffskette wurde am 9. April 2021 durch eine serverseitige Änderung an der Infrastruktur von Zoom neutralisiert.

In Kombination mit zwei weiteren während der Pwn20wn gemeldeten Schwachstellen (ungültige URL-Validierung beim Senden einer XMPP-Nachricht zum Zugreifen auf eine App-URL auf Zoom Marketplace und falsche URL-Validierung beim Anzeigen eines Giphy-Bilds) können Angreifer per Remote-Verbindung Code auf dem Computer ihres Ziels ausführen.
Damit der Angriff funktioniert, muss das Ziel vorher eine Verbindungsanfrage des Angreifers angenommen haben oder sich zusammen mit dem Angreifer in einem Multi-Benutzer-Chat befinden. Die auf der Pwn20wn demonstrierte Angriffskette kann für Ziele sehr offensichtlich sein, da sie zur Generierung zahlreicher Client-Benachrichtigungen führt.

Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Alle Desktop-Versionen von Zoom Client for Meetings vor Version 5.6.3

Quelle: Gemeldet von Daan Keuper und Thijs Alkemade von Computest über die Zero Day Initiative.

ZSB-21001 03/26/2021 Funktion für die Bildschirmfreigabe in Anwendungsfenstern Kritisch CVE-2021-28133

Schweregrad: Kritisch

CVSS-Ergebnis: 5,7

CVSS-Vektorstring: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

Beschreibung: Die Bildschirmfreigabefunktion des Zoom-Clients für Windows und Linux war von einer Schwachstelle betroffen, die während der Freigabe einzelner Anwendungsfenster auftrat. Dabei waren Bildschirminhalte von Anwendungen, die nicht explizit von den Benutzern der Bildschirmfreigabe freigegeben wurden, möglicherweise kurze Zeit für andere Meeting-Teilnehmer sichtbar, wenn die freigebende Person ein anderes Fenster minimierte, maximierte oder schloss.

Zoom führte im Zoom-Client für Windows Version 5.6 mehrere neue Sicherheitsmaßnahmen ein, die die Wahrscheinlichkeit des Auftretens dieses Problems für Windows-Benutzer verringern. Wir arbeiten weiterhin an zusätzlichen Maßnahmen zur Behebung dieses Problems auf allen betroffenen Plattformen.

Zoom hat das Problem am 1. März 2021 auch für Ubuntu-Benutzer in der Version 5.5.4 von Zoom Client für Linux behoben. Benutzer können aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Alle Zoom-Client-Versionen für Windows
  • Zoom-Client-Versionen für Linux vor 5.5.4 auf Ubuntu
  • Alle Client-Versionen für Linux auf anderen unterstützten Distributionen

Quelle: Entdeckt von Michael Stramez und Matthias Deeg.

ZSB-20002 08/14/2020 Windows DLL im Zoom Sharing Service Kritisch CVE-2020-9767

Schweregrad: Kritisch

CVSS-Ergebnis: 7.8

CVSS-Vektorstring: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Beschreibung: Eine Schwachstelle im Zusammenhang mit dem Laden der Dynamic-Link Library („DLL“) im Zoom Sharing Service könnte es einem lokalen Windows-Benutzer ermöglichen, seine Berechtigungen auf die des NT AUTHORITY/SYSTEM-Benutzers zu eskalieren.

Die Schwachstelle ist auf unzureichende Signaturprüfungen dynamisch geladener DLLs beim Laden einer signierten ausführbaren Datei zurückzuführen. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine schädliche DLL in eine signierte ausführbare Zoom-Datei einfügt und diese zum Starten von Prozessen mit erhöhten Berechtigungen verwendet.

Zoom hat dieses Problem in der Clientversion 5.0.4 behoben. Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Windows Installer-Versionen (ZoomInstallerFull.msi) vor 5.0.4

Quelle: Connor Scott von Context Information Security

ZSB-20001 05/04/2020 Zoom-IT-Installer für Windows Kritisch CVE-2020-11443

Schweregrad: Kritisch

CVSS-Ergebnis: Basis: 8,4

CVSS-Vektorstring: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Beschreibung: Eine Schwachstelle, die sich daraus ergibt, wie der Zoom Windows-Installer beim Löschen von Dateien Abzweigungen verarbeitet, könnte es einem lokalen Windows-Benutzer ermöglichen, Dateien zu löschen, die vom Benutzer sonst nicht gelöscht werden können.

Die Schwachstelle ist auf die unzureichende Überprüfung auf Abzweigungen in dem Verzeichnis zurückzuführen, aus dem der Installer Dateien löscht und das von Standardbenutzern beschreibbar ist. Ein böswilliger lokaler Benutzer könnte diese Schwachstelle ausnutzen, indem er eine Abzweigung im betroffenen Verzeichnis erstellt, die auf geschützte Systemdateien oder andere Dateien verweist, für die der Benutzer keine Berechtigungen besitzt. Beim Ausführen des Zoom Windows-Installers mit erhöhten Berechtigungen, wie dies bei der Ausführung über verwaltete Bereitstellungssoftware der Fall ist, würden diese Dateien aus dem System gelöscht werden.

Zoom hat dieses Problem in der Clientversion 4.6.10 behoben. Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Windows Installer-Versionen (ZoomInstallerFull.msi) vor 4.6.10

Quelle: Danke an das Lockheed Martin Red Team.

ZSB-19003 07/12/2019 ZoomOpener-Daemon Kritisch CVE-2019-13567

Schweregrad: Kritisch

CVSS-Ergebnis: Basis: 7,5

CVSS-Vektorstring: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Beschreibung: Eine Schwachstelle im Zoom-Client für macOS könnte es einem Angreifer ermöglichen, Schadsoftware auf das Gerät eines Opfers herunterzuladen.

Die Schwachstelle ist auf eine unsachgemäße Eingabeüberprüfung und Validierung heruntergeladener Software im ZoomOpener-Hilfsprogramm zurückzuführen. Ein Angreifer könnte die Schwachstelle ausnutzen, um das Gerät eines Opfers aufzufordern, Dateien für die Zwecke des Angreifers herunterzuladen. Ein erfolgreicher Exploit ist nur möglich, wenn das Opfer zuvor den Zoom-Client deinstalliert hat.

Zoom hat dieses Problem in der Clientversion 4.4.52595.0425 behoben. Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client für macOS vor Version 4.4.52595.0425 und nach Version 4.1.27507.0627

Quelle: Unbekannt.

ZSB-19002 07/09/2019 Standard-Videoeinstellung Kritisch CVE-2019-13450

Schweregrad: Kritisch

CVSS-Ergebnis: Basis: 3,1

CVSS-Vektorstring: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

Beschreibung: Eine Schwachstelle im Zoom- und RingCentral-Client für macOS könnte es einem nicht authentifizierten Remote-Angreifer ermöglichen, einen Benutzer zum Beitritt zu einem Videoanruf mit eingeschalteter Kamera zu zwingen.

Die Schwachstelle ist auf unzureichende Autorisierungskontrollen zurückzuführen, um zu überprüfen, welche Systeme mit dem lokalen auf Port 19421 ausgeführten Zoom-Webserver kommunizieren können. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine bösartige Website erstellt, die dazu führt, dass der Zoom-Client, automatisch an einem vom Angreifer eingerichteten Meeting teilnimmt.

Zoom hat in Clientversion 4.4.5, die am 14. Juli 2019 veröffentlicht wurde, ein neues Dialogfeld für die Video-Vorschau implementiert, das dem Benutzer vor der Teilnahme an einem Meeting angezeigt wird. Dieses Dialogfeld ermöglicht es dem Benutzer, an dem Meeting mit oder ohne eingeschaltetem Video teilzunehmen, und erfordert, dass der Benutzer das gewünschte Standardverhalten für Video festlegt. Zoom bittet Kunden dringend, die neueste Zoom-Client-Version zu installieren, die unter https://zoom.us/download verfügbar ist.

Betroffene Produkte:

  • Zoom Client für macOS vor Version 4.4.5
  • RingCentral-Client für macOS vor Version 4.4.5

Quelle: Entdeckt von Jonathan Leitschuh.

ZSB-19001 07/09/2019 Denial-of-Service-Angriff –macOS Kritisch CVE-2019-13449

Schweregrad: Kritisch

CVSS-Ergebnis: Basis: 3,1

CVSS-Vektorstring: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Beschreibung: Eine Schwachstelle im Zoom-Client für macOS könnte es einem nicht authentifizierten Remote-Angreifer ermöglichen, auf dem System eines Opfers eine Denial-of-Service-Bedingung auszulösen.

Die Schwachstelle ist auf unzureichende Autorisierungskontrollen zurückzuführen, um zu überprüfen, welche Systeme mit dem lokalen auf Port 19421 ausgeführten Zoom-Webserver kommunizieren können. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine bösartige Website erstellt, die dazu führt, dass der Zoom-Client wiederholt versucht, mit einer ungültigen Meeting-ID an einem Meeting teilzunehmen. Die Endlosschleife bewirkt, dass der Zoom-Client nicht mehr funktioniert, und kann die Leistung des Systems beeinträchtigen, auf dem er ausgeführt wird.

Zoom veröffentlichte am 28. April 2019 Hotfix Version 4.4.2 des macOS-Clients, um das Problem zu beheben. Benutzer können zu ihrer eigenen Sicherheit beitragen, indem sie aktuelle Updates anwenden oder unter https://zoom.us/download die neueste Zoom-Software mit allen aktuellen Sicherheitsupdates herunterladen.

Betroffene Produkte:

  • Zoom Client für macOS vor Version 4.4.5
  • RingCentral-Client für macOS vor Version 4.4.5

Quelle: Entdeckt von Jonathan Leitschuh.

No results found

Bitte geben Sie Ihre persönliche E-Mail-Adresse an, um Benachrichtigungen zu zukünftigen Zoom Sicherheitsmeldungen zu erhalten. (Hinweis: E-Mail-Aliase erhalten diese Benachrichtigungen nicht.)