Webkonferenzen: Zoom schließt mehrere Sicherheitslücken

Zoom hat Updates zum Schließen von teils hochriskanten Sicherheitslücken veröffentlicht. Die Webkonferenzsoftware ermöglicht Angreifern etwa die Ausweitung ihrer Rechte im System.

Insgesamt sieben Schwachstellen hat Zoom gemeldet. Davon stuften die Entwickler sechs als hohes Risiko ein, eine hingegen als niedriges. Allein fünf Lücken betreffen Zoom Rooms.

Zoom Rooms mit vielen Schwachstellen

Die Verwaltung mit Zoom Rooms ermöglicht authentifizierten Angreifern aufgrund unzureichender Zugriffskontrollen die Ausweitung ihrer Rechte (CVE-2023-36538, CVSS 8.4, Risiko "hoch"). Denselben Effekt hat eine fehlerhafte Rechteverwaltung (CVE-2023-34118, CVE-2023-36537; beide CVSS 7.3, hoch).

Auch den Installer für Zoom Rooms können bösartige Akteure zur Privilegienerhöhung missbrauchen. Das ermöglicht etwa ein genutzter, nicht vertrauenswürdiger Suchpfad (CVE-2023-36536, CVSS 8.2, hoch) und ungesicherte temporäre Dateien (CVE-2023-34119, CVSS 8.2, hoch). Das Update auf Zoom Rooms 5.15.0 oder neuer behebt die Fehler.

Eine unzureichende Prüfung von Eingaben im Zoom Desktop Client vor der aktuellen Version 5.15.0 ermöglicht nicht authentifizierten Angreifern aus dem Netz die Erhöhung der Zugriffsrechte (CVE-2023-34116, CVSS 8.2, hoch). Eine sogenannte Relative-Path-Traversal-Lücke findet sich zudem im Zoom Client SDK vor Fassung 5.15.0 (CVE-2023-34117, CVSS 3.3, niedrig).

IT-Verantwortliche sollten zügig sicherstellen, die fehlerbereinigten Software-Versionen einzusetzen. Nutzerinnen und Nutzer können die Installationspakete auf der Download-Seite von Zoom herunterladen.

Im Juni hatte Zoom ebenfalls hochriskante Sicherheitslücken in der Webkonferenz-Software gestopft. Dabei ging es um 12 Schwachstellen, die unter anderem bösartigen Akteuren auch die Erhöhung der Privilegien ermöglichten.

(dmk)