Zoom, ein beliebtes Tool für Webkonferenzen, hat Updates veröffentlicht, um mehrere Sicherheitslücken zu schließen, insbesondere in Zoom Rooms und dem Zoom Desktop-Client für Windows. Diese Lücken stellen ein hohes Risiko dar, da sie Cyberkriminellen die Ausweitung ihrer Rechte im System ermöglichen.
Insgesamt wurden sieben Sicherheitslücken von Zoom gemeldet, von denen die Entwickler sechs als hohes Risiko und eine als niedriges Risiko einstuften. Davon betreffen allein fünf Schwachstellen Zoom Rooms.
Die Verwaltung mit Zoom Rooms ermöglicht es authentifizierten Cyberkriminellen aufgrund unzureichender Zugriffskontrollen, ihre Rechte im System auszuweiten (CVE-2023-36538, CVSS 8.4, Risiko: „hoch“). Ein ähnlicher Effekt tritt bei einer fehlerhaften Rechteverwaltung auf (CVE-2023-34118, CVE-2023-36537; beide CVSS 7.3, hoch).
Auch der Installer für Zoom Rooms kann von Cyberkriminellen zur Privilegienerhöhung missbraucht werden. Dies wird durch die Verwendung eines nicht vertrauenswürdigen Suchpfads ermöglicht (CVE-2023-36536, CVSS 8.2, hoch) sowie durch ungeschützte temporäre Dateien (CVE-2023-34119, CVSS 8.2, hoch). Diese Fehler wurden durch das Update auf Zoom Rooms 5.15.0 oder eine neuere Version behoben.
Im Zoom Desktop-Client vor der aktuellen Version 5.15.0 ermöglicht eine unzureichende Überprüfung der Eingaben nicht Cyberkriminellen die Erhöhung der Zugriffsrechte (CVE-2023-34116, CVSS 8.2, hoch). Zusätzlich gibt es eine sogenannte Relative-Path-Traversal-Sicherheitslücke im Zoom Client SDK vor Version 5.15.0 (CVE-2023-34117, CVSS 3.3, niedrig).
Es wird empfohlen, dass IT-Verantwortliche schnellstmöglich die aktualisierten Software-Versionen installieren. Nutzer können die Installationspakete von der Zoom-Website herunterladen.
Bereits im Juni hat Zoom ebenfalls hochriskante Schwachstellen in der Webkonferenz-Software behoben. Dabei handelte es sich um insgesamt 12 Sicherheitslücken, die unter anderem Cyberkriminellen die Erhöhung der Privilegien ermöglichten.