Une mise à jour est recommandée pour les utilisateurs de clients Zoom sur divers systèmes. Parmi les vulnérabilités actuellement signalées, deux sont classées comme très dangereuses et trois autres comme modérément dangereuses. Zoom fournit des mises à jour de sécurité appropriées pour Android, iOS, Linux, macOS et Windows.
Les vulnérabilités signalées par Zoom sont 8.3 et 7.2 selon CVSS. Ceux-ci ne sont pas considérés comme critiques, mais doivent être corrigés immédiatement. Zoom fournit des correctifs ou des mises à jour logicielles appropriés pour cela.
Vulnérabilités avec CVSS 8.3 et 7.2
La première vulnérabilité avec CVSS 8.3 concerne la "Implémentation incorrecte de la limite de confiance pour les clients SMB dans Zoom" avec CVE-2023-22885. L'impact, selon Zoom : si une victime enregistre un enregistrement local dans un emplacement SMB et l'ouvre ultérieurement via un lien du portail Web de Zoom, un attaquant situé sur un réseau adjacent au client victime pourrait exploiter un serveur SMB malveillant configuré pour répondre aux demandes des clients. Un attaquant pourrait l'utiliser pour démarrer des fichiers exécutables. Cela pourrait permettre à un attaquant d'accéder à l'appareil et aux données d'un utilisateur, ainsi que d'exécuter à distance d'autres codes.
Les produits concernés
- Clients Zoom (pour Android, iOS, Linux, macOS et Windows) antérieurs à la version 5.13.5
- Clients Zoom Rooms (pour Android, iOS, Linux, macOS et Windows) antérieurs à la version 5.13.5
- Clients Zoom VDI Windows Meeting antérieurs à la version 5.13.10
La deuxième vulnérabilité très dangereuse concerne l'élévation locale des privilèges dans Zoom pour Windows Installer avec CVE-2023-22883. Par exemple, un utilisateur local à faibles privilèges pourrait exploiter cette vulnérabilité dans une chaîne d'attaque pendant le processus d'installation pour élever ses privilèges à l'utilisateur SYSTEM. Une mise à jour élimine le danger.
Le produit concerné :
- Programmes d'installation Windows de Zoom Client for Meetings for IT Admin antérieurs à la version 5.13.5