Webkonferenz-Tool Zoom: Rechteausweitung durch kritische Schwachstelle
Zoom warnt vor mehreren Schwachstellen in den Produkten des Unternehmens. Eine gilt als kritisches Sicherheitsrisiko.
(Bild: Shutterstock/Andrey_Popov)
Im Laufe des Dienstags hat Zoom Warnungen vor mehreren Sicherheitslücken in diversen Produkten des Unternehmens veröffentlicht. Die schwerwiegendste gilt als kritisches Risiko und erlaubt Angreifern aus dem Netz, ihre Rechte auszuweiten.
Eine unzureichende Überprüfung von übermittelten Daten erlaubt demnach Angreifern aus dem Netz, in Zoom Desktop Client, VDI-Client und Zoom Meeting SDK jeweils für Windows, ohne vorherige Authentifizierung ihre Rechte auszuweiten (CVE-2024-24691, CVSS 9.6, Risiko "kritisch"). Da "einige Zoom 32-Bit Windows-Clients" einen nicht vertrauenswürdigen Suchpfad verwenden, können Angreifer ihre lokalen Rechte ausweiten (CVE-2024-24697, CVSS 7.2, hoch).
Zoom-Software: Sieben Sicherheitslücken gestopft
Fünf weitere Sicherheitslücken stufen die Zoom-Entwickler als mittleren Bedrohungsgrad ein. Absteigend nach Schweregrad sind das CVE-2024-24695, CVE-2024-24696, CVE-2024-24699,CVE-2024-24690 sowie CVE-2024-24698. Sie betreffen auch Clients und Apps für andere Plattformen als Windows. Daher sollten auch Zoom-Nutzer mit Android, iOS, Linux und macOS die aktuell angebotene Software installieren oder sicherstellen, dass sie die Mindest-Versionsnummer verwenden, die bereits die Sicherheitsfixes enthalten.
Die folgenden Software-Versionen bessern alle aufgezählten Fehler aus:
Zoom Desktop Client für Linux, macOS und Windows 5.17.0
Zoom VDI Client für Windows 5.17.5
Zoom Mobile App für Android und iOS 5.17.0
Zoom Rooms Client für Windows 5.17.0
Zoom Meeting SDK für Windows 5.17.0
Zoom VIdeo SDK für Windows 5.16.5
Sie stehen im Download-Portal von Zoom zum Herunterladen bereit. Da die Lücken teils sogar einen kritischen Bedrohungsgrad darstellen, sollten IT-Verantwortliche zügig sicherstellen, dass die Zoom-Software auf dem aktuellen Stand ist.
Zuletzt hatte Zoom im Januar eine Schwachstelle ausgebessert. Auch dadurch konnten Angreifer in der Videokonferenzsoftware ihre Rechte ausweiten, was nur knapp an der Einstufung als "kritisch" vorbeischrammte.
(dmk)
