Für die Webkonferenz-Software Zoom hat das Unternehmen Aktualisierungen veröffentlicht, die Sicherheitslücken darin schließt. Durch die Lücken könnten Angreifer die Zoom-Apps des Zoom-Clients kontrollieren oder Konferenzteilnehmer andere im Meeting stören.

Auf einer Fehlkonfiguration des Debugging-Ports basiert die Schwachstelle im Zoom Client für Meetings für macOS. Bei aktiviertem Camera-Mode-Rendering-Kontext könnte in bestimmten Zoom-Apps der Debugging-Port geöffnet werden. Angreifer könnten sich auf diesen verbinden und die Zoom-Apps im Client kontrollieren (CVE-2022-28762, CVSS 7.3, Risiko "hoch"). Sowohl die Standard- als auch die IT-Admin-Version ab 5.10.6 bis 5.12.0 sind betroffen. Daher sollten Nutzer das Update anwenden oder die aktuelle Client-Software von der Zoom-Downloadseite herunterladen und installieren.

Vor der aktuellen Version 4.8.20220916.131 enthält die Server-seitige Software Zoom On-Premise Meeting Connector MMR eine Sicherheitslücke durch unzureichende Zugriffskontrollen. Bösartige Akteure könnten aufgrund der Schwachstelle in einem Meeting oder Webinar, zu dem sie Zutrittsberechtigungen haben, anderen Teilnehmern Ton- und Videoempfang abdrehen und so das Meeting massiv stören (CVE-2022-28761, CVSS 6.5, mittel). Zoom stellt auf einer Support-Seite eine Anleitung zur Aktualisierung der On-Premise-Software bereit.

Um Angreifern keine unnötige Angriffsfläche zu bieten, sollten IT-Verantwortliche die bereitgestellten Updates zeitnah herunterladen und installieren.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE