Webkonferenzen: Zoom dichtet acht Sicherheitslücken ab
In der Webkonferenz-Software klaffen mehrere Sicherheitslücken, eine davon hochriskant. Updates dichten sie ab.
Smartphones als Webcams in einer Webkonferenz.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
In der Webkonferenz-Software von Zoom klaffen acht Sicherheitslücken. Angreifer können dadurch ihre Rechte ausweiten, die Dienste lahmlegen oder unbefugt auf Informationen zugreifen. Updates stehen bereit.
In den Zoom-Apps für Windows können authentifizierte Nutzer ihre Rechte ausweiten, da der Installer keine ausreichende Eingabeüberprüfung vornimmt. Wie Angriffe aussehen könnten oder worin genau die Lücke besteht, erläutert Zoom in der Sicherheitsmitteilung nicht (CVE-2024-27240, CVSS 7.1, Risiko "hoch").
Aktualisierte Softwarepakete
Auf der Download-Seite von Zoom stehen die aktualisierten Softwarepakete zum Herunterladen bereit. Sofern die Software nicht automatisch auf den neueren Stand aktualisiert hat, sollten Nutzer und Admins die frischen Installationspakete anwenden.
Die Sicherheitsprobleme beheben die Versionen Zoom Workplace Desktop App für Linux, macOS und Windows 6.0.10, Zoom Rooms App für iPad, Mac und Windows 6.0.6, Zoom Meeting SDK für Android, iOS, Linux, macOS und Windows 6.0.10, Zoom Workplace VDI App für Windows 5.17.13 und jeweils neuere. Teils reichen auch schon ältere Stände, um einige der Sicherheitslöcher zu stopfen, aber die Softwareversionen sind dann potenziell noch für eine oder mehrere der weiteren Schwachstellen anfällig.
Die einzelnen Sicherheitsmeldungen absteigend nach Risiko sortiert:
- Zoom Apps for Windows - Improper Input Validation, CVE-2024-27240, CVSS 7.1, hoch
- Zoom Workplace Apps and SDKs - Path traversal, CVE-2024-39826, CVSS 6.8, mittel
- Zoom Workplace Apps and SDKs - Improper Privilege Management, CVE-2024-39819, CVSS 6.7, mittel
- Zoom Workplace App for Windows and Zoom Rooms App for Windows - Race Condition, CVE-2024-39821, CVSS 6.6, mittel
- Zoom Workplace Desktop App for macOS - Uncontrolled Search Path Element, CVE-2024-39820, CVSS 6.6, mittel
- Zoom Workplace Desktop App for Windows - Improper Input Validation, CVE-2024-39827, CVSS 5.5, mittel
- Zoom Apps and SDKs - Improper Input Validation, CVE-2024-27241, CVSS 5.3, mittel
- Zoom Apps and SDKs - Race Condition, CVE-2024-27238, CVSS 4.4, mittel
Zuletzt warnte Zoom im Februar vor einer als kritisch eingestuften Sicherheitslücke in den Webkonferenz-Programmen. Sie ermöglichte Angreifern, durch den Zoom Desktop Client, VDI-Client und Zoom Meeting SDK jeweils für Windows, ohne vorherige Authentifizierung ihre Rechte im System auszuweiten.
(dmk)