Lücke zur Rechteausweitung in Videokonferenz-Software Zoom gestopft

Der Windows-Client der Videokonferenz-Software Zoom ist verwundbar. Stimmen die Voraussetzungen, könnten sich Angreifer erweiterte Nutzerrechte aneignen. Mittlerweile ist die Schwachstelle geschlossen.

In einer offiziellen Warnmeldung ist der von der Lücke (CVE-2020-9767) ausgehende Bedrohungsgrad als "hoch" eingestuft. Die Schwachstelle betrifft den Zoom-Sharing-Service. Hier könnte ein Angreifer mit lokalem Zugriff, etwa über das Netzwerk, dem Client eine präparierte DLL-Datei unterschieben. Klappt eine Attacke, stehen Angreifer mit erhöhten Nutzerrechten da.

Die Zoom-Entwickler geben an, sich in der Windows-Version 5.0.4 um die Lücke gekümmert zu haben. Aktuell ist die Version 5.2.1. Offensichtlich wurde die Lücke schon vor einiger Zeit geschlossen, aber Infos zur Schwachstelle erst jetzt veröffentlicht.

(des)