Beveiligingslekken in Zoom-vergadersoftware verzegeld | heise online

De fabrikant meldt twee beveiligingslekken in zijn conferentiesoftware Zoom: Het lek met het grootste risico ontstaat door een mogelijke bufferoverloop waardoor aanvallers de service of de applicaties kunnen laten crashen of zelfs willekeurige code kunnen uitvoeren. Zoom zelf beoordeelt het gat als “hoog” en berekent een CVSS-score van 7,3.

De andere kwetsbaarheid zou de status van het procesgeheugen kunnen onthullen – en daardoor kwaadwillende actoren in staat stellen om elk geheugengebied van het proces te bekijken. Hierdoor kunnen aanvallers ongeoorloofde toegang krijgen tot gevoelige informatie. De fabrikant classificeert dit als een gemiddeld risico met een CVSS-score van 5,3.

Getroffen versies

Veel van de programma’s en services van de fabrikant worden beïnvloed. Een van de meest voorkomende zijn de Zoom Client voor vergaderingen voor Android, Blackberry, Chrome, intune, iOS, Linux, macOS en Windows. Maar ook in de Zoom OnPremise Meeting Connectors en de Zoom Meeting SDK’s en in verschillende andere applicaties, dichten nieuwe versies de beveiligingslacunes.

de nieuwe beveiligingsbulletins staan ​​op de Zoom Security Alerts-overzichtspagina in de rij staan. Het bedrijf heeft daar alle betrokken softwareproducten en -versies in detail vermeld. Bijgewerkte pakketten zijn voor iedereen beschikbaar. de Gecorrigeerde Zoom-clients en de controller voor Zoom Rooms zijn te vinden op de openbare downloadpagina. Beheerders ontvangen de overige bijgewerkte pakketten via de bij hen bekende accounts. Gebruikers en beheerders van videoconferentieoplossingen moeten deze onmiddellijk importeren vanwege de mogelijke effecten.

(dmk)