Webkonferenzen: Zoom Workplace Apps mit Sicherheitslücken
In den Workplace Apps und im Jenkins Plug-in von Zoom klaffen Sicherheitslücken. Updates zum Abdichten der Lecks stehen bereit.
Smartphones als Webcams in einer Webkonferenz.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Zoom hat mehrere Sicherheitslücken in den Webkonferenz-Tools geschlossen. Eine davon gilt als hochriskant. Zudem ist das Jenkins-Plug-in für App-Entwickler von einer Schwachstelle betroffen.
Am gravierendsten stuft Zoom eine Schwachstelle in der Zoom Workplace App für Linux ein. Die ist vom Typ "Type Confusion", bei der übergebene Datentypen nicht mit den vom Programmcode erwarteten übereinstimmen, was oftmals zur Ausführung von untergeschobenem Code führen kann. In diesem Fall können angemeldete Nutzer ihre Rechte mit Netzwerkzugriff ausweiten – wie genau der Angriff auf die Lücke aussehen würde, erläutert Zoom jedoch nicht (CVE-2025-0147, CVSS 8.8, Risiko "hoch").
Weitere Sicherheitslecks
Als mittleres Risiko eingestufte Sicherheitslücken hat Zoom zudem in den Workplace-Apps für Linux und Windows geschlossen. Denselben Bedrohungsgrad teilt die Schwachstelle im Jenkins-Plug-in von Zoom.
Videos by heise
Die Fehler haben die Entwickler in den Versionen
- Zoom Workplace App für Linux und macOS 6.2.10,
- Zoom Workplace App für Android, iOS und Windows 6.2.5,
- Zoom Workplace VDI Client für Windows 6.1.13,
- Zoom Rooms Client für macOS 6.2.10,
- Zoom Rooms Client für iPad und Windows 6.2.5,
- Zoom Rooms Controller für macOS 6.2.10,
- Zoom Rooms Controller für Android, Linux und Windows 6.2.5,
- Zoom Meeting SDK für Linux und macOS 6.2.10,
- Zoom Meeting SDK für Android, iOS und Windows 6.2.5,
- Zoom Video SDK für Linux und macOS 6.2.10,
- Zoom Video SDK für Android, iOS und Windows 6.2.5,
- Zoom Jenkins Bot Plug-in 1.6
und jeweils neueren Fassungen geschlossen. Aktualisierte Pakete stellt Zoom auf der Download-Seite zur Verfügung. Das aktualisierte Jenkins-Plug-in hingegen findet sich auf der Webseite von Jenkins. IT-Verantwortliche sollten sicherstellen, die Updates zeitnah anzuwenden.
Die einzelnen Sicherheitsmitteilungen von Zoom nach Schweregrad sortiert:
- Zoom Workplace App for Linux - Type Confusion CVE-2025-0147, CVSS 8,8, hoch
- Zoom Workplace Apps for Windows - Untrusted Search Path CVE-2025-0145, CVSS 4.6, mittel
- Zoom Workplace Apps for Linux - Out-of-bounds Write CVE-2025-0143, CVSS 4.3, mittel
- Zoom Jenkins bot plugin - Cleartext Storage of Sensitive Information CVE-2025-0142, CVSS 4.3, mittel
- Zoom Workplace app for macOS - Symlink Following CVE-2025-0146, CVSS 3.9, niedrig
- Zoom Workplace Apps - Out-of-bounds Write CVE-2025-0144, CVSS 3.1, niedrig
In der Zoom-Videokonferenz-Software finden sich öfter Schwachstellen. Zuletzt fielen im Juli vergangenen Jahres mehrere Sicherheitslücken in Zoom-Software auf. Auch damals wurde eine der Lücken als hohes Risiko eingestuft.
(dmk)
