Zoom hat seine Webkonferenz-Software in neuen Versionen veröffentlicht, die mehrere, teils kritische Sicherheitslücken schließen sollen. Einige bereits im Vorfeld zur Behebung einer Rechteausweitungs-Schwachstelle im Mac-Client veröffentlichte Updates seien bislang unzureichend gewesen. Auch für den Mac-Client gebe es daher eine weitere Aktualisierung.

Angreifer seien bei dem Zoom-Client for Meetings für Android, iOS, Linux, macOS und Windows in der Lage, Schadcode aus dem Netz einzuschleusen. Für einen erfolgreichen Angriff müssen die Opfer eine präparierte Meeting-URL aufrufen. Da der Link zur Verbindung mit einer beliebigen Netzwerkadresse führen könne, seien weitere Angriffe - etwa das Starten beliebiger ausführbarer Dateien - möglich. Die als "kritisch" eingestufte Lücke (CVE-2022-28755) soll ab Version 5.11.0 behoben sein. Bei Zoom VDI Windows Clients sei sie ab Version 5.10.7 behoben.

Darüber hinaus sei in Zoom for Conference Rooms für Windows vor der Version 5.11.0 eine Rechteausweitung auf SYSTEM möglich gewesen (CVE-2022-28752). Die bislang unzureichend behandelte Lücke unter macOS (CVE-2022-28757), die ebenfalls eine Rechteausweitung ermöglichte, sei in Version 5.11.6 behoben worden.

Schließlich seien eine Sicherheitslücke in der On-Premise-Version von Zoom Meeting Connector Zone Controller (CVE-2022-28750), sowie zwei weitere Lücken in Zoom On-Premise Meeting Connector MMR (CVE-2022-28753, CVE-2022-28754) behoben worden.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE