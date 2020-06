Angreifer könnten Chats in der Meeting-Software Zoom manipulieren, um Schadcode auf Computern auszuführen. Die zwei Sicherheitslücken sind seit Mai geschlossen. Das Angriffsrisiko gilt als "hoch".

Sicherheitsforscher von Cisco Talos haben die Schwachstellen (CVE-2020-6109, CVE-2020-6110) eigenen Angaben zufolge in der Zoom-Version 4.6.11 entdeckt. Welche Betriebssysteme von den Lücken bedroht sind, ist dezreit nicht bekannt. Für Windows ist die Ausgabe 5.0.5 aktuell.

Wie aus einem Beitrag der Sicherheitsforscher hervorgeht, könnten Angreifer über präparierte Nachrichten in Chats Fehler provozieren und als Ergebnis Schadcode auf Computer bringen. In einem Fall soll das über das Versenden einer manipulierten GIF-Datei möglich sein. So könnte ein Angreifer Schreibrechte (arbitrary file write) erlangen und so eigene Befehle ausführen.

Wie Attacken im Detail ablaufen könnten, beschrieben die Sicherheitsforscher in zwei Beiträgen:

(des)