Оновлення рекомендовано користувачам клієнтів Zoom на різних системах. З зареєстрованих на даний момент вразливостей дві класифікуються як дуже небезпечні, а ще три — як помірно небезпечні. Zoom надає відповідні оновлення безпеки для Android, iOS, Linux, macOS і Windows.
Згідно з CVSS, уразливості, про які повідомляє Zoom, — 8.3 і 7.2. Вони не вважаються критичними, але їх слід негайно виправити. Для цього Zoom надає відповідні виправлення або оновлення програмного забезпечення.
Уразливості в CVSS 8.3 і 7.2
Перша вразливість у CVSS 8.3 стосується «Неправильного впровадження ліміту довіри для SMB у клієнтах Zoom» із CVE-2023-22885. Наслідки, за даними Zoom: якщо жертва зберігає локальний запис у SMB-розташуванні, а потім відкриває його за посиланням на веб-порталі Zoom, зловмисник, який знаходиться в суміжній мережі з клієнтом жертви, може використати зловмисний SMB-сервер, налаштований на відповідати на запити клієнтів. Зловмисник може використати це для запуску виконуваних файлів. Це може дозволити зловмиснику отримати доступ до пристрою та даних користувача, а також віддалено запустити інший код.
Уражені продукти
- Клієнти Zoom (для Android, iOS, Linux, macOS і Windows) до версії 5.13.5
- Клієнти Zoom Rooms (для Android, iOS, Linux, macOS і Windows) до версії 5.13.5
- Клієнти Zoom VDI Windows Meeting до версії 5.13.10
Друга дуже небезпечна вразливість стосується локального підвищення привілеїв у програмі встановлення Zoom для Windows із CVE-2023-22883. Наприклад, локальний користувач із низьким рівнем привілеїв може використати цю вразливість у ланцюжку атак під час процесу інсталяції, щоб підвищити свої права до користувача SYSTEM. Оновлення усуває небезпеку.
Уражений продукт:
- Zoom Client for Meetings for IT Admin Інсталятори Windows до версії 5.13.5