В популярной платформе для обмена видеосообщениями Zoom обнаружены многочисленные уязвимости, затрагивающие Zoom Clients. Эти уязвимости могут позволить неавторизованному пользователю осуществить атаки типа “отказ в обслуживании”, “повышение привилегий” и “раскрытие информации”.
Неправильная аутентификация – CVE-2023-39215.
При базовом рейтинге CVSS 7.1 и уязвимости высокой степени серьёзности, указанной как CVE-2023-39215, неправильная аутентификация в клиентах Zoom может позволить аутентифицированному пользователю воспользоваться доступом к сети для проведения атаки типа “отказ в обслуживании”.
Затронутые продукты:
- Zoom Desktop Client для Windows до версии 5.15.5
- Zoom Desktop Client для macOS до версии 5.15.5
- Zoom Desktop Client для Linux до версии 5.15.5
- Zoom VDI Client до версии 5.14.12
- Zoom VDI Client до версии 5.15.4
- Мобильное приложение Zoom для Android до версии 5.15.5
- Мобильное приложение Zoom для iOS до версии 5.15.5
- Zoom Meeting SDK’s до версии 5.15.5
Раскрытие конфиденциальной информации – CVE-2023-39214.
Уязвимость высокой степени серьёзности с базовым баллом CVSS 7.6 идентифицирована как CVE-2023-39214. Она связана с раскрытием конфиденциальных данных в Zoom Client версий до 5.15.5.
Затронутые продукты:
- Zoom Desktop Client для Windows до версии 5.15.5
- Zoom Desktop Client для macOS до версии 5.15.5
- Zoom Desktop Client для Linux до версии 5.15.5
- Мобильное приложение Zoom для Android до версии 5.15.5
- Мобильное приложение Zoom для iOS до версии 5.15.5
- Zoom Rooms для iPad до версии 5.15.5
- Zoom Rooms для Android до версии 5.15.5
- Zoom Rooms для Windows до версии 5.15.5
- Zoom Rooms для macOS до версии 5.15.5
Обеспечение безопасности сервера на стороне клиента – CVE-2023-36535.
До версии 5.14.10 реализация безопасности на стороне сервера в клиентах Zoom могла позволить аутентифицированному пользователю раскрыть информацию через сетевой доступ. Эта уязвимость высокой степени серьёзности была идентифицирована как CVE-2023-36535 и имеет CVSS Base Score равный 7.1.
Затронутые продукты:
- Zoom Clients для Windows до версии 5.14.10
- Zoom Desktop Client для macOS до версии 5.14.10
- Zoom Desktop Client для Linux до версии 5.14.10
- Zoom VDI Host и Plugin до версии 5.14.10
- Мобильное приложение Zoom для Android до версии 5.14.10
- Мобильное приложение Zoom для iOS до версии 5.14.10
- Zoom Rooms для iPad до версии 5.14.10
- Zoom Rooms для Android до версии 5.14.10
- Zoom Rooms для Windows до версии 5.14.10
- Zoom Rooms для macOS до версии 5.14.10
Уязвимости средней и низкой степени серьёзности, затрагивающие клиентов Zoom:
- CVE-2023-43582 – неправильная авторизация
- CVE-2023-39199 – криптографические проблемы
- CVE-2023-39206/CVE-2023-39204/CVE-2023-36532 – переполнение буфера
- CVE-2023-39205 – некорректная проверка условий
- CVE-2023-39218 – некорректная проверка безопасности на стороне клиента
- CVE-2023-39217 – некорректная проверка входных данных
Чтобы получить самые последние обновления безопасности и исправления ошибок, Zoom рекомендует пользователям обновиться до самой последней версии программного обеспечения Zoom.
Материалы: gbhackers.com (Guru Baran)