Zoom hat in neuen Versionen seiner Mobil- und Desktop-Programme mehrere Sicherheitslücken behoben. Neben einer Pfadmanipulation gab es auch Probleme mit der Verschlüsselung, mangelhafte Zugriffskontrolle und Fehler in den Authentifizierungsroutinen der Konferenzsoftware. Details sind Mangelware, Nutzer sollten trotzdem vorsichtshalber eine Aktualisierung ausführen. Anzeige Die gewichtigste Lücke erlaubt Angreifern unter Windows, ihre Privilegien auszuweiten. Zwar müssen sie dafür angemeldet sein, können den Angriff aber auch über das Netzwerk ausführen. Das Sicherheitsleck hat die CVE-ID CVE-2023-43586 und mit 7.3 CVSS-Punkten einen "hohen" Schweregrad. Betroffen sind der Zoom-Desktop-Client, das Video- und Meeting-SDK vor Version 5.16.5 sowie der VDI-Client vor Version 5.16.0. Mobile und Desktop-Clients betroffen Zwei Lücken klaffen auch in den Apps für Android und iOS. Eine ungenügende Zugriffskontrolle (CVE-2023-43585, CVSSv3: 7.1, Risiko "hoch") betrifft die IOS-Apps und SDK vor Version 5.16.5, interessanterweise aber auch das Android-Meeting-SDK vor Version 5.16.0. Von einem nicht weiter ausgeführten kryptografischen Problem (CVE-2023-43583, CVSSS 4.9, Risiko "mittel") sind die Apps für Android und IOS sowie die jeweiligen Meeting- und Video-SDK vor Version 6.16.0 betroffen. Beide Lücken erlauben Angreifern über das Netzwerk, auf für sie nicht bestimmte Informationen zuzugreifen. Ein weites Spektrum von Zoom-Produkten, nämlich die Clients für Windows, macOS, Linux, iOS und Android, der VDI-Client und alle SDKs leidet unter einer Lücke mit mittlerem Schweregrad (CVE-2023-49646, CVSS 5.4), die einen Denial of Service erlaubt. Angreifbar sind alle Versionen vor 5.16.5. Die kürzlich veröffentlichte tvOS-Version von Zoom ist offenbar nicht betroffen. Zoom-Nutzer sollten auf die Version 5.16.5 aktualisieren, die alle beschriebenen Fehler behebt. (cku) Zur Startseite
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
Zoom hat in neuen Versionen seiner Mobil- und Desktop-Programme mehrere Sicherheitslücken behoben. Neben einer Pfadmanipulation gab es auch Probleme mit der Verschlüsselung, mangelhafte Zugriffskontrolle und Fehler in den Authentifizierungsroutinen der Konferenzsoftware. Details sind Mangelware, Nutzer sollten trotzdem vorsichtshalber eine Aktualisierung ausführen. Anzeige Die gewichtigste Lücke erlaubt Angreifern unter Windows, ihre Privilegien auszuweiten. Zwar müssen sie dafür angemeldet sein, können den Angriff aber auch über das Netzwerk ausführen. Das Sicherheitsleck hat die CVE-ID CVE-2023-43586 und mit 7.3 CVSS-Punkten einen "hohen" Schweregrad. Betroffen sind der Zoom-Desktop-Client, das Video- und Meeting-SDK vor Version 5.16.5 sowie der VDI-Client vor Version 5.16.0. Mobile und Desktop-Clients betroffen Zwei Lücken klaffen auch in den Apps für Android und iOS. Eine ungenügende Zugriffskontrolle (CVE-2023-43585, CVSSv3: 7.1, Risiko "hoch") betrifft die IOS-Apps und SDK vor Version 5.16.5, interessanterweise aber auch das Android-Meeting-SDK vor Version 5.16.0. Von einem nicht weiter ausgeführten kryptografischen Problem (CVE-2023-43583, CVSSS 4.9, Risiko "mittel") sind die Apps für Android und IOS sowie die jeweiligen Meeting- und Video-SDK vor Version 6.16.0 betroffen. Beide Lücken erlauben Angreifern über das Netzwerk, auf für sie nicht bestimmte Informationen zuzugreifen. Ein weites Spektrum von Zoom-Produkten, nämlich die Clients für Windows, macOS, Linux, iOS und Android, der VDI-Client und alle SDKs leidet unter einer Lücke mit mittlerem Schweregrad (CVE-2023-49646, CVSS 5.4), die einen Denial of Service erlaubt. Angreifbar sind alle Versionen vor 5.16.5. Die kürzlich veröffentlichte tvOS-Version von Zoom ist offenbar nicht betroffen. Zoom-Nutzer sollten auf die Version 5.16.5 aktualisieren, die alle beschriebenen Fehler behebt. (cku) Zur Startseite