Videomeeting-Anwendungen: Zoom rüstet Produkte gegen mögliche Attacken
Wichtige Sicherheitsupdates, für unter anderem den Windows-Client von Zoom, schließen mehrere Lücken.
Angreifer können Anwendungen von Zoom attackieren und sich zum Beispiel höhere Nutzerrechte verschaffen. Davon sind Zoom Clients, Zoom-Desktop-Client für Windows, Zoom Client SDK, Zoom Rooms für Windows, Zoom SDK und Zoom VDI Client betroffen. Sicherheitsupdates stehen zum Download bereit.
Gefährliche Lücken
Im Sicherheitsbereich ihrer Website haben die Zoom-Entwickler Informationen zu den Lücken zusammengetragen. Am gefährlichsten gilt eine "kritische" Schwachstelle (CVE-2023-39213) in Zoom Desktop Client für Windows und Zoom VDI Client.
Auf einem nicht näher beschriebenen Weg soll sich ein Angreifer ohne Authentifizierung über den Netzwerkzugang höhere Nutzerrechte verschaffen können. Die Entwickler geben an, die Lücke in der Version 5.15.2 geschlossen zu haben. Ähnliche Schwachstellen (CVE-2023-39216 "kritisch", CVE-2023-36543 "kritisch") haben die Entwickler in der Ausgabe 5.14.7 geschlossen.
Durch das Ausnutzen von weiteren Lücken in etwa Rooms für Windows (CVE-2023-39212 "hoch") ist das Auslösen eines DoS-Zustands vorstellbar. Außerdem ist es möglich, dass Angreifer im Zoom Client SDK für Windows auf eigentlich abgeschottete Informationen zugreifen können (CVE-2023-39210 "mittel"). Insgesamt haben die Entwickler in aktuellen Versionen 15 Sicherheitsprobleme gelöst.
(des)