zurück zum Artikel

Nach erfolgreichen Attacken auf Zoom Rooms könnten sich Angreifer etwa unter macOS Root-Rechte verschaffen. Sicherheitsupdates sind verfügbar.

Die Entwickler der Videokonferenzsoftware Zoom haben in den Android-, macOS- und Windows-Versionen mehrere Sicherheitslücken geschlossen.

Die Lücken listet der Entwickler im Sicherheitsbereich seiner Website [1] auf. Aufgrund eines Fehlers im Windows-Installer (CVE-2022-36930 "hoch") von Zoom Rooms könnten sich lokale Angreifer mit niedrigen Nutzerrechten System-Rechte verschaffen. Abhilfe schafft die Ausgabe 5.13.0. Über eine weitere Lücke (CVE-2022-36929 "hoch") im Client könnten sich Angreifer ebenfalls System-Rechte verschaffen. Diese Schwachstelle haben die Entwickler in der Version 5.12.7 geschlossen. Wie Attacken konkret aussehen könnten, ist bislang nicht bekannt.

Im Zoom-Rooms-Client für macOS ist es vorstellbar, dass sich Angreifer Root-Rechte erschleichen (CVE-2022-36926 "hoch", CVE-2022-36927 "hoch"). Das soll ab der Version 5.11.3 nicht mehr möglich sein. Aufgrund von schwachen Schlüsseln (CVE-2022-36925 "mittel") könnten Angreifer unter anderem DoS-Attacken ausüben. Dagegen ist die Ausgabe 5.11.4 abgesichert.

Unter Android könnten Angreifer unberechtigt auf Daten zugreifen (CVE-2022-36928 "mittel"). Um das zu verhindern, sollten Nutzer die Version 5.13.0 installieren.

(des [2])

URL dieses Artikels:
https://www.heise.de/-7453606

Links in diesem Artikel:
[1] https://explore.zoom.us/en/trust/security/security-bulletin/
[2] mailto:des@heise.de

Copyright © 2023 Heise Medien