विभिन्न प्रणालियों पर ज़ूम क्लाइंट के उपयोगकर्ताओं के लिए एक अद्यतन की अनुशंसा की जाती है। वर्तमान में रिपोर्ट की गई कमजोरियों में से दो को अत्यधिक खतरनाक और तीन अन्य को मामूली खतरनाक के रूप में वर्गीकृत किया गया है। ज़ूम Android, iOS, Linux, macOS और Windows के लिए उपयुक्त सुरक्षा अद्यतन प्रदान करता है।
ज़ूम द्वारा रिपोर्ट की गई भेद्यताएँ सीवीएसएस के अनुसार 8.3 और 7.2 हैं। इन्हें गंभीर नहीं माना जाता है, लेकिन तुरंत पैच किया जाना चाहिए। जूम इसके लिए उपयुक्त पैच या सॉफ्टवेयर अपडेट प्रदान करता है।
सीवीएसएस 8.3 और 7.2 के साथ कमजोरियां
सीवीएसएस 8.3 के साथ पहली भेद्यता सीवीई-2023-22885 के साथ "ज़ूम क्लाइंट्स में एसएमबी के लिए विश्वास सीमा के गलत कार्यान्वयन" से संबंधित है। ज़ूम के अनुसार प्रभाव: यदि कोई पीड़ित स्थानीय रिकॉर्डिंग को किसी एसएमबी स्थान पर सहेजता है और बाद में ज़ूम के वेब पोर्टल से एक लिंक के माध्यम से खोलता है, तो पीड़ित ग्राहक के निकटवर्ती नेटवर्क पर स्थित एक हमलावर एक दुर्भावनापूर्ण एसएमबी सर्वर सेट अप का फायदा उठा सकता है। ग्राहक के अनुरोधों का जवाब दें। एक हमलावर इसका उपयोग निष्पादन योग्य फ़ाइलों को प्रारंभ करने के लिए कर सकता है। यह एक हमलावर को उपयोगकर्ता के डिवाइस और डेटा तक पहुंच प्राप्त करने के साथ-साथ अन्य कोड को दूरस्थ रूप से चलाने की अनुमति दे सकता है।
प्रभावित उत्पाद
- ज़ूम क्लाइंट (Android, iOS, Linux, macOS और Windows के लिए) संस्करण 5.13.5 से पहले
- जूम रूम क्लाइंट (एंड्रॉइड, आईओएस, लिनक्स, मैकओएस और विंडोज के लिए) संस्करण 5.13.5 से पहले
- संस्करण 5.13.10 से पहले ज़ूम वीडीआई विंडोज मीटिंग क्लाइंट
दूसरी अत्यधिक खतरनाक भेद्यता सीवीई-2023-22883 के साथ विंडोज इंस्टालर के लिए जूम में विशेषाधिकारों के स्थानीय विस्तार से संबंधित है। उदाहरण के लिए, एक कम-विशेषाधिकार वाला स्थानीय उपयोगकर्ता सिस्टम उपयोगकर्ता को अपने विशेषाधिकार बढ़ाने के लिए स्थापना प्रक्रिया के दौरान हमले की श्रृंखला में इस भेद्यता का फायदा उठा सकता है। एक अद्यतन खतरे को समाप्त करता है।
प्रभावित उत्पाद:
- संस्करण 5.13.5 से पहले के IT व्यवस्थापक Windows इंस्टालर के लिए मीटिंग के लिए ज़ूम क्लाइंट