Webkonferenz-Tool Zoom: Rechteausweitung durch kritische Schwachstelle
Zoom warnt vor mehreren Schwachstellen in den Produkten des Unternehmens. Eine gilt als kritisches Sicherheitsrisiko.
(Bild: Shutterstock/Andrey_Popov)
Im Laufe des Dienstags hat Zoom Warnungen vor mehreren Sicherheitslücken in diversen Produkten des Unternehmens veröffentlicht. Die schwerwiegendste gilt als kritisches Risiko und erlaubt Angreifern aus dem Netz, ihre Rechte auszuweiten.
Eine unzureichende Überprüfung von übermittelten Daten erlaubt demnach Angreifern aus dem Netz, in Zoom Desktop Client, VDI-Client und Zoom Meeting SDK jeweils für Windows, ohne vorherige Authentifizierung ihre Rechte auszuweiten (CVE-2024-24691, CVSS 9.6, Risiko "kritisch"). Da "einige Zoom 32-Bit Windows-Clients" einen nicht vertrauenswürdigen Suchpfad verwenden, können Angreifer ihre lokalen Rechte ausweiten (CVE-2024-24697, CVSS 7.2, hoch).
Zoom-Software: Sieben SicherheitslĂĽcken gestopft
FĂĽnf weitere SicherheitslĂĽcken stufen die Zoom-Entwickler als mittleren Bedrohungsgrad ein. Absteigend nach Schweregrad sind das CVE-2024-24695, CVE-2024-24696, CVE-2024-24699,CVE-2024-24690 sowie CVE-2024-24698. Sie betreffen auch Clients und Apps fĂĽr andere Plattformen als Windows. Daher sollten auch Zoom-Nutzer mit Android, iOS, Linux und macOS die aktuell angebotene Software installieren oder sicherstellen, dass sie die Mindest-Versionsnummer verwenden, die bereits die Sicherheitsfixes enthalten.
Die folgenden Software-Versionen bessern alle aufgezählten Fehler aus:
Zoom Desktop Client fĂĽr Linux, macOS und Windows 5.17.0
Zoom VDI Client fĂĽr Windows 5.17.5
Zoom Mobile App fĂĽr Android und iOS 5.17.0
Zoom Rooms Client fĂĽr Windows 5.17.0
Zoom Meeting SDK fĂĽr Windows 5.17.0
Zoom VIdeo SDK fĂĽr Windows 5.16.5
Sie stehen im Download-Portal von Zoom zum Herunterladen bereit. Da die LĂĽcken teils sogar einen kritischen Bedrohungsgrad darstellen, sollten IT-Verantwortliche zĂĽgig sicherstellen, dass die Zoom-Software auf dem aktuellen Stand ist.
Zuletzt hatte Zoom im Januar eine Schwachstelle ausgebessert. Auch dadurch konnten Angreifer in der Videokonferenzsoftware ihre Rechte ausweiten, was nur knapp an der Einstufung als "kritisch" vorbeischrammte.
(dmk)
