Zoom behebt Sicherheitslücken unter Windows, Android und iOS

Zoom hat in neuen Versionen seiner Mobil- und Desktop-Programme mehrere Sicherheitslücken behoben. Neben einer Pfadmanipulation gab es auch Probleme mit der Verschlüsselung, mangelhafte Zugriffskontrolle und Fehler in den Authentifizierungsroutinen der Konferenzsoftware. Details sind Mangelware, Nutzer sollten trotzdem vorsichtshalber eine Aktualisierung ausführen.

Die gewichtigste Lücke erlaubt Angreifern unter Windows, ihre Privilegien auszuweiten. Zwar müssen sie dafür angemeldet sein, können den Angriff aber auch über das Netzwerk ausführen. Das Sicherheitsleck hat die CVE-ID CVE-2023-43586 und mit 7.3 CVSS-Punkten einen "hohen" Schweregrad. Betroffen sind der Zoom-Desktop-Client, das Video- und Meeting-SDK vor Version 5.16.5 sowie der VDI-Client vor Version 5.16.0.

Mobile und Desktop-Clients betroffen

Zwei Lücken klaffen auch in den Apps für Android und iOS. Eine ungenügende Zugriffskontrolle (CVE-2023-43585, CVSSv3: 7.1, Risiko "hoch") betrifft die IOS-Apps und SDK vor Version 5.16.5, interessanterweise aber auch das Android-Meeting-SDK vor Version 5.16.0. Von einem nicht weiter ausgeführten kryptografischen Problem (CVE-2023-43583, CVSSS 4.9, Risiko "mittel") sind die Apps für Android und IOS sowie die jeweiligen Meeting- und Video-SDK vor Version 6.16.0 betroffen. Beide Lücken erlauben Angreifern über das Netzwerk, auf für sie nicht bestimmte Informationen zuzugreifen.

Ein weites Spektrum von Zoom-Produkten, nämlich die Clients für Windows, macOS, Linux, iOS und Android, der VDI-Client und alle SDKs leidet unter einer Lücke mit mittlerem Schweregrad (CVE-2023-49646, CVSS 5.4), die einen Denial of Service erlaubt. Angreifbar sind alle Versionen vor 5.16.5. Die kürzlich veröffentlichte tvOS-Version von Zoom ist offenbar nicht betroffen.

Zoom-Nutzer sollten auf die Version 5.16.5 aktualisieren, die alle beschriebenen Fehler behebt.

(cku)