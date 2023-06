Insgesamt zwölf Sicherheitsmeldungen zu Schwachstellen in der Webkonferenz-Software Zoom hat das Unternehmen veröffentlicht. Mit aktualisierter Software bessern die Entwickler die sicherheitsrelevanten Fehler aus. IT-Verantwortliche sollten die Updates zügig installieren.

Von den zwölf Sicherheitslücken stufen die Programmierer sechs als hochriskant, vier als mittlere Bedrohung und zwei als niedriges Risiko ein. Etwa aufgrund unzureichender Rechteverwaltung können Nutzer mit lokalem Zugriff ihre Rechte ausweiten (CVE-2023-34120, CVSS 8.7, Risiko "hoch"). Angemeldete Nutzer aus dem Netzwerk können zudem unbefugt auf Informationen zugreifen (CVE-2023-34114, CVSS 8.3, hoch). Authentifizierte bösartige Akteure aus dem Netz können ihre Rechte ausweiten, da Zoom die Authentizität von Daten unzureichend prüft (CVE-2023-34113, CVSS 8.0, hoch).

Zoom: Mehrere hochriskante Lecks

Der Zoom-VDI-Installer prüft Zugriffsrechte nicht ausreichend, was Angreifer zum Löschen lokaler Dateien ohne passende Berechtigung missbrauchen können (CVE-2023-28603, CVSS 7.7, hoch). Bösartige Nutzer können eine HTML-Injection-Schwachstelle missbrauchen, um beim Start eines Chats mit einem Opfer dessen Zoom-App abstürzen zu lassen (CVE-2023-28598, CVSS 7.5, hoch). Auch im Zoom for Windows-Installer können Angreifer eine Lücke zum Ausweiten ihrer Rechte nutzen (CVE-2023-34122, CVSS 7.3, hoch).

Die Sicherheitslücken dichten die Versionen Zoom for macOS und Zoom for Windows 5.14.10 und neuere, Zoom for Linux, Android und iOS 5.13.10 und aktueller, Zoom Meeting SDK 5.13.0 sowie Zoom Rooms for Windows und Zoom VDI for Windows 5.14.0 oder neuer ab. Diese stehen auf der Download-Seite von Zoom zum Herunterladen bereit. Da einige der Lücken ein hohes Risiko darstellen und teils nur knapp an der Bewertung "kritisch" vorbeischrammen, sollten Zoom-Nutzer rasch prüfen, ob die installierte Fassung auf dem aktuellen Stand ist. Zoom listet die Sicherheitslücken und Details dazu auf einer Übersichtsseite im Web auf.

Zuletzt musste Zoom in der gleichnamigen Software im März teils hochriskante Sicherheitslücken schließen. Sie erlaubten Angreifern, Schadcode einzuschleusen und auszuführen.

(dmk)