Die Videokonferenzlösungen von Zoom enthielten Lücken, die ein teils hohes Risiko darstellen
Das Leck mit dem größten Risiko öffnet sich aufgrund eines potenziellen Pufferüberlaufs, durch den Angreifer den Dienst oder die Anwendungen zum Absturz bringen oder gar beliebigen Code ausführen könnten. Zoom selber bewertet die Lücke mit der Risikostufe „hoch“ und errechnet einen CVSS-Score von 7.3. Die andere Schwachstelle könnte den Status des Prozessspeichers offenbaren – und infolgedessen bösartigen Akteuren Einsicht in beliebige Speicherbereiche des Prozesses ermöglichen. Angreifer könnten dadurch unbefugt an sensible Informationen gelangen. Der Hersteller stuft das als mittleres Risiko mit einem CVSS-Score von 5.3 ein.
Diese Versionen von Zoom sind betroffen
Betroffen sind recht viele Programme und Dienste des Herstellers. Zu den weit verbreitetsten darunter zählen unter anderem der Zoom Client für Meetings für Android, Blackberry, Chrome, intune, iOS, Linux, macOS und Windows. Aber auch in den Zoom OnPremise Meeting Connectors und den Zoom Meeting SDKs sowie diversen weiteren Anwendungen schließen neue Fassungen die Sicherheitslücken. Die neuen Security-Bulletins sind auf der Zoom-Sicherheitsmeldungen-Übersichtsseite eingereiht. Dort hat das Unternehmen ausführlich alle betroffenen Software-Produkte und Versionsstände aufgelistet. Aktualisierte Pakete stehen für alle bereit. Die fehlerbereinigten Zoom Clients sowie den Controller für Zoom Rooms finden Nutzer auf der öffentlichen Download-Seite. Die anderen aktualisierten Pakete erhalten Administratoren über die ihnen bekannten Zugänge. Nutzer und Administratoren der Videokonferenzlösungen sollten sie aufgrund der potenziellen Auswirkungen zeitnah einspielen.