Eine kritische Sicherheitslücke in der Open-Source-Videokonferenzplattform Jitsi Meet ermöglicht es, Passwörter von Meetings zu erlangen, die mit einer Wartelobby geschützt sind. Die Schwachstelle CVE-2024-33530 betrifft die Jitsi-Versionen von 1.0.4289, veröffentlicht am 12. Juli 2020, bis zur Version 2.0.9364 vom 18. März 2024. Ein Update, das den Fehler behebt, wurde in der Version 2.0.9457 am 23. April 2024 veröffentlicht.
Jitsi Meet nutzt das Extensible Messaging and Presence Protocol (XMPP) für die Kommunikation. Die Sicherheitslücke wurde entdeckt, als ein Benutzer aus einer Wartelobby in ein passwortgeschütztes Meeting eingeladen wurde. Dabei wurde das Passwort des Meetings in der XMPP-Nachricht, die die Einladung bestätigte, offenbart. Dies steht zwar im Einklang mit der XMPP-Spezifikation für vermittelte Einladungen in Multi-User-Chats, offenbart jedoch eine problematische Abweichung von der üblichen XMPP-Handhabung bei Jitsi Meet: Benutzer, die einmal eingeladen sind, erhalten Mitgliederstatus und das Passwort, was ihnen ermöglicht, weiteren Zugang zum Meeting zu gewähren, auch ohne Moderationsrechte.
Nachdem die Sicherheitsberatungsfirma ERNW die Schwachstelle am 21. März 2024 meldete, bestätigte Jitsi innerhalb von zwei Tagen, dass bereits ein Fix implementiert und in das System integriert wurde. Dieser wurde am 25. März in einer instabilen Version von Jitsi überprüft und bestätigt. Mit der Veröffentlichung der stabilen Version 2.0.9457 am 23. April wurde die Sicherheitslücke offiziell geschlossen.
Jitsi-Nutzer werden dringend aufgefordert, auf die neueste Version zu aktualisieren, um sicherzustellen, dass ihre Videokonferenzen vor unbefugtem Zugriff geschützt sind. Nutzer sollten zudem regelmäßig die Sicherheitseinstellungen ihrer Meetings überprüfen, insbesondere wenn sie Funktionen wie Passwortschutz und Wartelobbys nutzen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: