Zoom. Уязвимости высокой степени серьёзности

В популярной платформе для обмена видеосообщениями Zoom обнаружены многочисленные уязвимости, затрагивающие Zoom Clients. Эти уязвимости могут позволить неавторизованному пользователю осуществить атаки типа “отказ в обслуживании”, “повышение привилегий” и “раскрытие информации”.

Неправильная аутентификация – CVE-2023-39215.

При базовом рейтинге CVSS 7.1 и уязвимости высокой степени серьёзности, указанной как CVE-2023-39215, неправильная аутентификация в клиентах Zoom может позволить аутентифицированному пользователю воспользоваться доступом к сети для проведения атаки типа “отказ в обслуживании”.

Затронутые продукты:

  • Zoom Desktop Client для Windows до версии 5.15.5
  • Zoom Desktop Client для macOS до версии 5.15.5
  • Zoom Desktop Client для Linux до версии 5.15.5
  • Zoom VDI Client до версии 5.14.12
  • Zoom VDI Client до версии 5.15.4
  • Мобильное приложение Zoom для Android до версии 5.15.5
  • Мобильное приложение Zoom для iOS до версии 5.15.5
  • Zoom Meeting SDK’s до версии 5.15.5

Раскрытие конфиденциальной информации – CVE-2023-39214.

Уязвимость высокой степени серьёзности с базовым баллом CVSS 7.6 идентифицирована как CVE-2023-39214. Она связана с раскрытием конфиденциальных данных в Zoom Client версий до 5.15.5.

Затронутые продукты:

  • Zoom Desktop Client для Windows до версии 5.15.5
  • Zoom Desktop Client для macOS до версии 5.15.5
  • Zoom Desktop Client для Linux до версии 5.15.5
  • Мобильное приложение Zoom для Android до версии 5.15.5
  • Мобильное приложение Zoom для iOS до версии 5.15.5
  • Zoom Rooms для iPad до версии 5.15.5
  • Zoom Rooms для Android до версии 5.15.5
  • Zoom Rooms для Windows до версии 5.15.5
  • Zoom Rooms для macOS до версии 5.15.5

Обеспечение безопасности сервера на стороне клиента – CVE-2023-36535.

До версии 5.14.10 реализация безопасности на стороне сервера в клиентах Zoom могла позволить аутентифицированному пользователю раскрыть информацию через сетевой доступ. Эта уязвимость высокой степени серьёзности была идентифицирована как CVE-2023-36535 и имеет CVSS Base Score равный 7.1.

Затронутые продукты:

  • Zoom Clients для Windows до версии 5.14.10
  • Zoom Desktop Client для macOS до версии 5.14.10
  • Zoom Desktop Client для Linux до версии 5.14.10
  • Zoom VDI Host и Plugin до версии 5.14.10
  • Мобильное приложение Zoom для Android до версии 5.14.10
  • Мобильное приложение Zoom для iOS до версии 5.14.10
  • Zoom Rooms для iPad до версии 5.14.10
  • Zoom Rooms для Android до версии 5.14.10
  • Zoom Rooms для Windows до версии 5.14.10
  • Zoom Rooms для macOS до версии 5.14.10

Уязвимости средней и низкой степени серьёзности, затрагивающие клиентов Zoom:

  • CVE-2023-43582 – неправильная авторизация
  • CVE-2023-39199 – криптографические проблемы
  • CVE-2023-39206/CVE-2023-39204/CVE-2023-36532 – переполнение буфера
  • CVE-2023-39205 – некорректная проверка условий
  • CVE-2023-39218 – некорректная проверка безопасности на стороне клиента
  • CVE-2023-39217 – некорректная проверка входных данных

Чтобы получить самые последние обновления безопасности и исправления ошибок, Zoom рекомендует пользователям обновиться до самой последней версии программного обеспечения Zoom.

Материалы: gbhackers.com (Guru Baran)

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставь комментарий! Поделись своим мнениемx