Zoom patcht kritische Sicherheitslücken in Windows

Table of Contents

Zoom hat am 13. Februar 2024 einen Patch veröffentlicht, mehrere Sicherheitslücken in der Zoom Desktop-Client für Windows, Zoom VDI-Client für Windows und Zoom Meeting SDK für Windows beseitigt. Der kritischste untern den behobenen Lücken ist die unsichere Eingabevalidierung aus (CVE-2024-24691) mit CVSS Score 9.6/10.

Diese betrifft:

  • Zoom Desktop Client for Windows vor Version 5.16.5
  • Zoom VDI Client for Windows vor Version 5.16.10 (ausser 5.14.14 und 5.15.12)
  • Zoom Rooms Client for Windows vor Version 5.17.0
  • Zoom Meeting SDK for Windows vor Version 5.16.5

und erlaubt es unauthorisierten Angreifern eine Privilege Escalation in Netzwerk durchzuführen. Ein Patch ist daher dringend anzuraten.

Die gefundenen Sicherheitslücken im Detail

  • Unsachgemäße Eingabevalidierung (CVE-2024-24691): Diese kritische Sicherheitslücke betrifft den Zoom Desktop-Client für Windows, den Zoom VDI-Client für Windows sowie das Zoom Meeting SDK für Windows. Unsachgemäße Eingabevalidierung kann es Angreifern ermöglichen, potenziell schädlichen Code auszuführen oder den Dienst zum Absturz zu bringen, was die Integrität und Verfügbarkeit der Software beeinträchtigen könnte.
  • Unsachgemäße Eingabevalidierung (CVE-2024-24690 und CVE-2024-24696): Diese Sicherheitslücken wurden als mittelschwer eingestuft und betreffen die Zoom Clients allgemein, einschließlich des Desktop-Clients für Windows, des VDI-Clients für Windows und des Meeting SDK für Windows. Ähnlich wie die kritische Lücke ermöglichen sie durch unsachgemäße Verarbeitung von Eingaben das Potenzial für unerwünschte Aktionen innerhalb der Software.
  • Business Logic Error (CVE-2024-24699): Diese mittelschwere Sicherheitslücke wurde in den Zoom Clients identifiziert. Ein Fehler in der Geschäftslogik könnte es Angreifern ermöglichen, bestimmte Aktionen auszuführen, die sonst nicht beabsichtigt waren, und somit die Sicherheit der Software beeinträchtigen.
  • Unsachgemäße Authentifizierung (CVE-2024-24698): Diese mittelschwere Sicherheitslücke betrifft ebenfalls die Zoom Clients. Durch unsachgemäße Authentifizierung könnten unbefugte Benutzer Zugriff auf bestimmte Funktionen oder Daten erhalten, die sonst geschützt sein sollten.
  • Untrusted Search Path (CVE-2024-24697): Diese als hoch eingestufte Sicherheitslücke betrifft auch die Zoom Clients. Ein ungesicherter Suchpfad könnte es Angreifern ermöglichen, schädlichen Code in den Suchpfad einzuschleusen und auszuführen, was ein hohes Risiko für die Integrität des Systems darstellt.

Related Posts

Microsoft 365 Konten von Führungskräften im Ziel von Hackern

Eine seit November 2023 laufende Kampagne zur Kontoübernahme bei Microsoft Azure, richtet sich gegen Führungskräfte,. Diese Kampagne hat erfolgreich Hunderte von Benutzerkonten in zahlreichen Microsoft Azure-Umgebungen kompromittiert, einschließlich derer von leitenden Führungskräften.

Read More

Decryptor für Rhysida Ransomware lässt Opfer hoffen

Opfer des Ransomaware as a Service (RaaS) Providers Rhysida können auf Entschlüsselung Ihrer Daten hoffen. Einer südkoreanischen Forschergruppe ist eine Programmierschwachstelle in der Ransomware aufgefallen, über die sich die Daten wiederherstellen lassen.

Read More

Dell Unity Storage - kritische Sicherheitslücken jetzt patchen

Am 12.02.204 veröffentlichte Dell einen Sicherheitshinweis, in dem es dazu aufrief Produkte der Dell Unity Fileserver Reihe, zu patchen. Der Patch schliesst eine ganze Reihe kritischer Sicherheitslücken und sollte daher dringend installiert werden:

Read More