Mobile Security

Zoom dichtet Sicherheitslücken in mehreren Produkten und Clients ab

In einigen Produkten des Webkonferenz-Anbieters Zoom hat der Hersteller Sicherheitslücken geschlossen.

In einigen Programmen des Videokonferenzdienstes Zoom wurden Sicherheitslücken gefunden. Der Hersteller schließt diese mit neuen Programmversionen.

Die gravierendste Schwachstelle mit hohem Schweregrad (CVE-2021-34417, CVSS 7.9) fand sich in der Netzwerk-Proxy-Seite des Webportals der im lokalen Netz installierbaren Zoom On-Premise Meeting Connector Controller, Meeting Connector MMR, Recording Connector, Virtual Room Connector und Virtual Room Connector Load Balancer. Die als Netzwerk-Proxy-Passwort übergebenen Daten wurden nicht korrekt überprüft und hätten von einem Webportal-Administrator zum Einschleusen von Befehlen aus der Ferne – ausgeführt als root – missbraucht werden können.

In denselben Programmen fand sich auch eine Lücke mit mittlerem Risiko (CVE-2021-34418, CVSS 4.0), die zu einem Absturz des Login-Dienstes führen könnte. Es fehlte eine Prüfung, ob bei der Anmeldung auch ein NULL-Byte gesendet wurde, das typischerweise das Ende einer Zeichenkette markiert. Details und genaue Versionsnummern finden sich auf der Zoom Security-Bulletin-Seite.

Weitere Lücken und Updates

Das Windows-Installationsprogramm des Zoom Client für Meetings hat zudem die digitalen Signaturen von Dateien mit .msi-, .ps1- und .bat-Endungen nicht korrekt überprüft (CVE-2021-34420, CVSS 4.7). Solche Dateien entpackt der Installer und nutzt sie zu Installation der Software. Durch den Fehler hätten Angreifer dem Bericht zufolge bösartige, manipulierte Software installieren können.

In der Linux-Version des Zoom Client für Meetings könnten Angreifer eine manipulierte Fernsteuerungsanfrage bei einer Sitzung mit Screensharing senden, die einen Fehler zum HTML-Einschleusen ausnutzt (CVE-2021-34419, CVSS 3.7). Dies soll Teilnehmer so einer Sitzung für Social-Engineering-Angriffe verwundbar gemacht haben.

Für alle gemeldete Lücken stehen aktualisierte Softwarepakete bereit. Die Server-Software lässt sich zwar nicht öffentlich herunterladen, Clients listet der Hersteller jedoch auf der Download-Seite. Administratoren und Nutzer sollten diese Updates bei nächster sich bietender Gelegenheit einspielen.

Quelle: heise online Redaktion

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben