Video-Konferenzsoftware Zoom: Sicherheits-Fix für ältere Windows-Versionen
Ein Zoom-Update auf Version 5.1.3 schließt eine aus der Ferne ausnutzbare Lücke, die allerdings nur Windows-Versionen bis inklusive Win 7 betrifft.
(Bild: Zoom / heise online (Collage))
Die Entwickler der Videokonferenz-Software Zoom haben vor ein paar Tagen die Version 5.1.3 (28656.0709) veröffentlicht. Sie schließt eine Sicherheitslücke im Zoom-Client, die allerdings nur das von Microsoft nicht mehr unterstützte Windows 7 sowie noch ältere Versionen betreffen soll.
Zuerst über die Lücke berichtet hatte das Team von 0Patch, das sich auf die Veröffentlichung inoffizieller Patches spezialisiert hat und entsprechend auch in diesem Fall einen Security-Fix veröffentlicht hatte. Auch Nutzer, die zuvor den 0Patch-Micropatch installiert haben, sollten jetzt auf die offizielle Variante umsatteln und ein Zoom-Update vornehmen. Alternativ kann man die aktuellste Version auch aus dem Zoom Download Center herunterladen.
Nutzer-Interaktion zum Ausnutzen erforderlich
Details zu der Sicherheitslücke, der keine CVE-Nummer zugewiesen wurde, nennen die Zoom Release Notes zu Version 5.1.3 nicht. Ein Blogeintrag des 0Patch-Teams verrät etwas mehr: Demnach könnten entfernte Angreifer die Lücke ausnutzen, um auf dem verwundbaren Zielsystem beliebigen Programmcode auszuführen.
Voraussetzung für einen erfolgreichen Angriff sei allerdings, dass der betreffende Nutzer dazu gebracht würde, eine, so schreibt 0Patch etwas vage, "typische Aktion" wie etwa das Öffnen einer (wohl präparierten) Datei durchzuführen. Eine Sicherheitswarnung würde im Zuge des Angriffs nicht dargestellt.
dffdsfds
Siehe dazu auch:
- Zoom bei heise Download
(ovw)
