Der Hersteller des Konferenzsystems Zoom hat zwei Sicherheitslücken in seiner Software gemeldet. Das größte Risiko gehe demnach von einer Sicherheitslücke aus, die von einem potenziellen Pufferüberlauf geöffnet wurde. Angreifer seien in der Lage, den Dienst oder die Anwendungen zum Absturz zu bringen, oder beliebigen Code auszuführen. Die Risikoeinstufung gibt Zoom selbst mit "hoch" und einem CVSS-Score von 7.3 an.

Durch die zweite Lücke soll der Status des Prozessspeichers offenbart werden können. Angreifer könnten hierdurch beliebige Speicherbereiche des Prozesses auslesen und etwa unbefugt an sensible Informationen gelangen. Die Sicherheitslücke wurde mit einem mittleren Risiko sowie einem CVSS-Score von 5.3 eingestuft.

Von den Sicherheitslücken betroffen seien viele Programme und Dienste des Herstellers - darunter unter anderem der Zoom Client für Meetings für Android, Blackberry, Chrome, intune, iOS, Linux, macOS und Windows. Weiterhin sind auch die Zoom OnPremise Meeting Connectors und die Zoom Meeting SDKs betroffen. Neue Versionen der Software schließen die Lücken.

Auf der Sicherheitsmeldungen-Übersichtsseite des Herstellers sind die neuen Security-Bulletins aufgelistet. Das Unternehmen listet dort auch alle betroffenen Software-Produkte und Versionen auf - aktualisierte Pakete stehen in allen Fällen bereit. Nutzer des Zoom Clients sowie des Controllers für Zoom Rooms können die aktualisierten Versionen auf der öffentlichen Download-Seite finden.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE