Web-Meetings: Zoom-Updates dichten Schwachstellen ab
Mit aktualisierter Software schließt Zoom Sicherheitslücken in den Clients und im On-Premise Meeting Connector. Angreifer könnten dadurch etwa stören.
Zoom hat Aktualisierungen für die Webkonferenz-Software veröffentlicht, die Sicherheitslücken darin schließt. Angreifer könnten durch die Lücken doe Zoom-Apps des Zoom-Clients kontrollieren oder Konferenzteilnehmer andere im Meeting stören.
Hohes Sicherheitsrisiko im Client
Die Schwachstelle im Zoom Client für Meetings für macOS basiert auf einer Fehlkonfiguration des Debugging-Ports. In bestimmten Zoom-Apps könnte bei aktiviertem Camera-Mode-Rendering-Kontext der Debugging-Port geöffnet werden. Auf diesen könnten sich Angreifer verbinden und die Zoom-Apps im Client kontrollieren (CVE-2022-28762, CVSS 7.3, Risiko "hoch"). Betroffen sind sowohl die Standard- als auch die IT-Admin-Version ab 5.10.6 bis 5.12.0, die die Schwachstelle abdichtet. Nutzer könnten sich selbst behelfen, indem sie das Update anwenden oder die aktuelle Client-Software von der Zoom-Downloadseite herunterladen und installieren.
Die Server-seitige Software Zoom On-Premise Meeting Connector MMR enthält vor der aktuellen Version 4.8.20220916.131 eine Sicherheitslücke durch unzureichende Zugriffskontrollen. Aufgrund der Schwachstelle könnte ein bösartiger Akteur in einem Meeting oder Webinar, zu dem sie Zutrittsberechtigungen haben, anderen Teilnehmern Ton- und Videoempfang abdrehen und so das Meeting massiv stören (CVE-2022-28761, CVSS 6.5, mittel). Eine Anleitung zur Aktualisierung der On-Premise-Software stellt Zoom auf einer Support-Seite bereit.
IT-Verantwortliche sollten die bereitgestellten Updates zeitnah herunterladen und installieren, um Angreifern keine unnötige Angriffsfläche zu bieten. Zuletzt waren im August kritische Lücken in der Zoom-Videokonferenzsoftware aufgefallen, die Updates nötig machten.
Siehe auch:
- Zoom bei heise Download
(dmk)