Webkonferenzen: Zoom-Sicherheitslücken ermöglichen Rechteausweitung
Zoom verteilt aktualisierte Videokonferenz-Software. Sie schließt eine Sicherheitslücke, durch die Angreifer ihre Rechte ausweiten können.
In den Windows-Versionen der Videokonferenz-Lösungen von Zoom klaffen Sicherheitslücken. Angreifer können dadurch ihre Rechte auf verwundbaren Systemen ausweiten. Aktualisierte Software-Pakete sind verfügbar, die den Fehler korrigieren.
Am Dienstag hat Zoom eine Warnung vor der Schwachstelle veröffentlicht. Demnach können authentifizierte Nutzerinnen und Nutzer ihre Rechte mit lokalem Zugriff am System ausweiten (CVE-2023-49647, CVSS 8.8, Risiko "hoch"). Die Sicherheitslücke in Zoom Desktop Client für Windows, Zoom VDI Client für Windows und Zoom SDKs für Windows schrammt damit nur knapp an der Einstufung als kritisches Risiko vorbei.
Zoom-Schwachstelle: Betroffene Versionen
Die betroffenen Windows-Programme und Windows-SDKs sind in Versionen vor der fehlerbereinigten Fassung 5.16.10 verwundbar. Zoom weist darauf hin, dass der VDI-Client für Windows jedoch in den Versionen 5.14.14 und 5.15.12 abweichend davon nicht anfällig sei.
Aktualisierte Software sollen sich Zoom-Nutzerinnen und -Nutzer selbst herunterladen. Im Download-Center von Zoom stehen aktuelle Installationspakete mit den genannten und neueren Versionen zum Herunterladen bereit, die die Schwachstellen nach der Installation ausbessern. IT-Verantwortliche sollten sich jedoch bemühen, die Aktualisierungen zügig auf von ihnen betreute Systeme zu verteilen. Die Gefährdung ist mit einer CVSS-Einstufung von 8.8 groß. Die Updates reduzieren die Angriffsfläche daher sehr stark.
Zuletzt hatte Zoom Mitte Dezember mehrere Sicherheitslücken in Zoom für Android, iOS und Windows beheben müssen. Der Schweregrad der Lücken reichte bis zur Einstufung als hohes Risiko.
(dmk)