Der Hersteller hat in einigen Programmen des Videokonferenzdienstes Zoom Sicherheitslücken mittels neuen Programmversionen geschlossen.

In der Netzwerk-Proxy-Seite des Webportals der im lokalen Netz installierbaren Zoom On-Premise Meeting Connector Controller, Meeting Connector MMR, Recording Connector, Virtual Room Connector und Virtual Room Connector Load Balancer wurde die gravierendste Schwachstelle mit hohem Schweregrad (CVE-2021-34417, CVSS 7.9) geschlossen. Zuvor wurden die als Netzwerk-Proxy-Passwort übergebenen Daten nicht korrekt überprüft und hätten von einem Webportal-Administrator zum Einschleusen von Befehlen aus der Ferne als root missbraucht werden können.

Zudem befand sich in denselben Programmen eine Lücke mit mittlerem Risiko (CVE-2021-34418, CVSS 4.0), die zu einem Absturz des Login-Dienstes führen könnte. Auf der Zoom Security-Bulletin-Seite finden sich Details und genaue Versionsnummern.

Weiterhin hatte das Windows-Installationsprogramm des Zoom Client für Meetings die digitalen Signaturen von Dateien mit .msi-, .ps1- und .bat-Endungen nicht korrekt überprüft (CVE-2021-34420, CVSS 4.7). Der Installer entpackt solche Dateien und nutzt sie zur Installation der Software.

Angreifer könnten in der Linux-Version des Zoom Client für Meetings eine manipulierte Fernsteuerungsanfrage bei einer Sitzung mit Screensharing senden, die einen Fehler zum HTML-Einschleusen ausnutzt (CVE-2021-34419, CVSS 3.7).

Es stehen für alle gemeldete Lücken aktualisierte Softwarepakete bereit. Diese Updates sollten Administratoren und Nutzer bei nächster sich bietender Gelegenheit einspielen.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE