Trust Center Security, Privacy, Blogs Additional Resources

Сводки по безопасности

This page may be out of date while it is being translated, please refer to to the official English site for the latest security bulletins.

Все уровни серьезности
  • Все уровни серьезности
  • Критический
  • Высокий
  • Средний
  • Низкий
Все распространенные уязвимости и риски
  • Все распространенные уязвимости и риски
  • CVE-2023-39209
  • CVE-2023-39214
  • CVE-2023-39213
  • CVE-2023-39212
  • CVE-2023-39211
  • CVE-2023-39210
  • CVE-2023-39218
  • CVE-2023-39217
  • CVE-2023-39216
  • CVE-2023-36535
  • CVE-2023-36534
  • CVE-2023-36533
  • CVE-2023-36532
  • CVE-2023-36541
  • CVE-2023-36540
  • CVE-2023-36538
  • CVE-2023-36537
  • CVE-2023-36536
  • CVE-2023-34119
  • CVE-2023-34118
  • CVE-2023-34117
  • CVE-2023-34116
  • CVE-2023-36539
  • CVE-2023-34115
  • CVE-2023-34114
  • CVE-2023-34113
  • CVE-2023-34122
  • CVE-2023-34121
  • CVE-2023-34120
  • CVE-2023-28603
  • CVE-2023-28602
  • CVE-2023-28601
  • CVE-2023-28600
  • CVE-2023-28599
  • CVE-2023-28598
  • CVE-2023-28597
  • CVE-2023-28596
  • CVE-2023-22883
  • CVE-2023-22881
    CVE-2023-22882
  • CVE-2023-22880
  • CVE-2022-36930
  • CVE-2022-36929
  • CVE-2022-36928
  • CVE-2022-36926
    CVE-2022-36927
  • CVE-2022-36925
  • CVE-2022-36924
  • CVE-2022-28768
  • CVE-2022-28766
  • CVE-2022-28764
  • CVE-2022-28763
  • CVE-2022-28762
  • CVE-2022-28761
  • CVE-2022-28760
  • CVE-2022-28758
    CVE-2022-28759
  • CVE-2022-28757
  • CVE-2022-28756
  • CVE-2022-28751
  • CVE-2022-28753
    CVE-2022-28754
  • CVE-2022-28755
  • CVE-2022-28750
  • CVE-2022-28749
  • CVE-2022-22788
  • CVE-2022-22787
  • CVE-2022-22786
  • CVE-2022-22785
  • CVE-2022-22784
  • CVE-2022-22783
  • CVE-2022-22782
  • CVE-2022-22781
  • CVE-2022-22780
  • CVE-2022-22779
  • CVE-2021-34426
  • CVE-2021-34425
  • CVE-2021-34424
  • CVE-2021-34423
  • CVE-2021-34422
  • CVE-2021-34421
  • CVE-2021-34420
  • CVE-2021-34419
  • CVE-2021-34418
  • CVE-2021-34417
  • CVE-2021-34416
  • CVE-2021-34415
  • CVE-2021-34414
  • CVE-2021-34413
  • CVE-2021-34412
  • CVE-2021-34411
  • CVE-2021-34408
  • CVE-2021-33907
  • CVE-2021-30480
  • CVE-2021-28133
  • CVE-2020-9767
  • CVE-2020-11443
  • CVE-2019-13567
  • CVE-2019-13450
  • CVE-2019-13449
Поиск

Сводки по безопасности

Zoom не консультирует отдельных клиентов по поводу влияния уязвимостей, поскольку оно описано в сводке по безопасности Zoom, а также не предоставляет дополнительных сведений об уязвимости. Мы рекомендуем пользователям обновлять программное обеспечение Zoom до последней версии, чтобы получать последние исправления и улучшения безопасности.

ZSB Дата Название Уровень серьезности Распространенные уязвимости и риски (если применимо)
ZSB-23041 08/08/2023 Клиент Zoom для ПК для Windows: ненадлежащая проверка входных данных Средний CVE-2023-39209

Уровень серьезности: Средний

Оценка по CVSS: 5,9

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Описание: Из-за ненадлежащей проверки входных данных в клиенте Zoom для ПК для Windows до версии 5.15.5 авторизованные пользователи могут разрешить раскрытие информации с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.15.5

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23039 08/08/2023 Пакет средств для разработки ПО клиента Zoom: риск раскрытия конфиденциальной информации Высокий CVE-2023-39214

Уровень серьезности: Высокий

Оценка по CVSS: 7.6

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H

Описание: Из-за возникновения риска раскрытия конфиденциальной информации в пакете средств для разработки ПО клиента Zoom до версии 5.15.5 авторизованные пользователи могут разрешить прекращение работы с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Пакет средств для разработки ПО клиента Zoom для Windows до версии 5.15.5
  • Пакет средств для разработки ПО клиента Zoom для iOS до версии 5.15.5
  • Пакет средств для разработки ПО клиента Zoom для Android до версии 5.15.5
  • Пакет средств для разработки ПО клиента Zoom для macOS до версии 5.15.5
  • Пакет средств для разработки ПО клиента Zoom для Linux до версии 5.15.5

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23038 08/08/2023 Клиент Zoom для ПК для Windows и клиент Zoom VDI: ненадлежащая нейтрализация специальных элементов Критический CVE-2023-39213

Уровень серьезности: Критический

Оценка по CVSS: 9.6

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Описание: Из-за ненадлежащей нейтрализации специальных элементов в клиенте Zoom для ПК для Windows и в клиенте Zoom VDI до версии 5.15.2 неавторизованные пользователи могут разрешить эскалацию привилегии с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.15.2
  • Клиент Zoom VDI до версии 5.15.2

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23037 08/08/2023 Zoom Rooms для Windows: недостоверный путь поиска Высокий CVE-2023-39212

Уровень серьезности: Высокий

Оценка по CVSS: 7.9

Векторная последовательность CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

Описание: Из-за недостоверного пути поиска в Zoom Rooms для Windows до версии 5.15.5 авторизованные пользователи могут разрешить прекращение работы с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Rooms для Windows до версии 5.15.5

Источник: По данным sim0nsecurity.

ZSB-23036 08/08/2023 Клиент Zoom для ПК для Windows и Zoom Rooms для Windows: ненадлежащее управление привилегиями Высокий CVE-2023-39211

Уровень серьезности: Высокий

Оценка по CVSS: 8.8

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Описание: Из-за ненадлежащего управления привилегиями в клиенте Zoom для ПК для Windows и в Zoom Rooms для Windows до версии 5.15.5 авторизованные пользователи могут разрешить раскрытие информации с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom для ПК для Windows до версии 5.15.5
  • Zoom Rooms для Windows до версии 5.15.5

Источник: По данным sim0nsecurity.

ZSB-23035 08/08/2023 Пакет средств для разработки ПО клиента Zoom для Windows: очистка текста хранилища от конфиденциальной информации Средний CVE-2023-39210

Уровень серьезности: Средний

Оценка по CVSS: 5.5

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Описание: Из-за очистки текста хранилища от конфиденциальной информации в пакете средств для разработки ПО клиента Zoom для Windows до версии 5.15.0 авторизованные пользователи могут разрешить раскрытие информации с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Пакет средств для разработки ПО клиента Zoom для Windows до версии 5.15.0

Источник: По данным sim0nsecurity.

ZSB-23034 08/08/2023 Клиенты Zoom: обеспечение со стороны клиента безопасности на стороне сервера Средний CVE-2023-39218

Уровень серьезности: Средний

Оценка по CVSS: 6,5

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

Описание: Из-за обеспечения со стороны клиента безопасности на стороне сервера в клиентах Zoom до версии 5.14.10 привилегированные пользователи могут разрешить раскрытие информации с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.14.10
  • Клиент Zoom для ПК для macOS до версии 5.14.10
  • Клиент Zoom для ПК для Linux до версии 5.14.10
  • Плагин и хост Zoom VDI до версии 5.14.10
  • Мобильное приложение Zoom для Android до версии 5.14.10
  • Мобильное приложение Zoom для iOS до версии 5.14.10
  • Zoom Rooms для iPad до версии 5.14.10
  • Zoom Rooms для Android до версии 5.14.10
  • Zoom Rooms для Windows до версии 5.14.10
  • Zoom Rooms для macOS до версии 5.14.10

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23033 08/08/2023 Пакеты средств для разработки ПО Zoom: ненадлежащая проверка входных данных Критический CVE-2023-39217

Уровень серьезности: Критический

Оценка по CVSS: 5.3

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Описание: Из-за ненадлежащей проверки входных данных в пакете средств для разработки ПО Zoom до версии 5.14.10 неавторизованные пользователи могут разрешить прекращение работы с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Пакет средств для разработки ПО клиента Zoom для Windows до версии 5.14.10
  • Пакет средств для разработки ПО клиента Zoom для iOS до версии 5.14.10
  • Пакет средств для разработки ПО клиента Zoom для Android до версии 5.14.10
  • Пакет средств для разработки ПО клиента Zoom для macOS до версии 5.14.10
  • Пакет средств для разработки ПО клиента Zoom для Linux до версии 5.14.10

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23032 08/08/2023 Клиент Zoom для ПК для Windows: ненадлежащая проверка входных данных Критический CVE-2023-39216

Уровень серьезности: Критический

Оценка по CVSS: 9.6

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Описание: Из-за ненадлежащей проверки входных данных в клиенте Zoom для ПК для Windows до версии 5.14.7 неавторизованные пользователи могут разрешить эскалацию привилегии с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.14.7

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23031 08/08/2023 Клиенты Zoom: обеспечение со стороны клиента безопасности на стороне сервера Критический CVE-2023-36535

Уровень серьезности: Критический

Оценка по CVSS: 7,1

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L

Описание: Из-за обеспечения со стороны клиента безопасности на стороне сервера в клиентах Zoom до версии 5.14.10 авторизованные пользователи могут разрешить раскрытие информации с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиенты Zoom для Windows до версии 5.14.10
  • Клиент Zoom для ПК для macOS до версии 5.14.10
  • Клиент Zoom для ПК для Linux до версии 5.14.10
  • Плагин и хост Zoom VDI до версии 5.14.10
  • Мобильное приложение Zoom для Android до версии 5.14.10
  • Мобильное приложение Zoom для iOS до версии 5.14.10
  • Zoom Rooms для iPad до версии 5.14.10
  • Zoom Rooms для Android до версии 5.14.10
  • Zoom Rooms для Windows до версии 5.14.10
  • Zoom Rooms для macOS до версии 5.14.10

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23030 08/08/2023 Клиент Zoom для ПК для Windows: обход пути Критический CVE-2023-36534

Уровень серьезности: Критический

Оценка по CVSS: 9.3

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H

Описание: Из-за обхода пути в клиенте Zoom для ПК для Windows до версии 5.14.7 неавторизованные пользователи могут разрешить эскалацию привилегии с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.14.7

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23029 08/08/2023 Пакет средств для разработки ПО Zoom: неконтролируемое потребление ресурсов Критический CVE-2023-36533

Уровень серьезности: Критический

Оценка по CVSS: 7,1

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H

Описание: Из-за неконтролируемого потребления ресурсов в пакете средств для разработки ПО Zoom до версии 5.14.7 неавторизованные пользователи могут разрешить прекращение работы с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Пакет средств для разработки ПО клиента Zoom для Windows до версии 5.14.7
  • Пакет средств для разработки ПО клиента Zoom для iOS до версии 5.14.7
  • Пакет средств для разработки ПО клиента Zoom для Android до версии 5.14.7
  • Пакет средств для разработки ПО клиента Zoom для macOS до версии 5.14.7
  • Пакет средств для разработки ПО клиента Zoom для Linux до версии 5.14.7

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23028 08/08/2023 Клиенты Zoom: переполнение буфера Критический CVE-2023-36532

Уровень серьезности: Критический

Оценка по CVSS: 5,9

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Описание: Из-за переполнения буфера в клиентах Zoom до версии 5.14.5 неавторизованные пользователи могут разрешить прекращение работы с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.14.5
  • Клиент Zoom для ПК для macOS до версии 5.14.5
  • Клиент Zoom для ПК для Linux до версии 5.14.5
  • Плагин и хост Zoom VDI до версии 5.14.5
  • Мобильное приложение Zoom для Android до версии 5.14.5
  • Мобильное приложение Zoom для iOS до версии 5.14.5
  • Zoom Rooms для iPad до версии 5.14.5
  • Zoom Rooms для Android до версии 5.14.5
  • Zoom Rooms для Windows до версии 5.14.5
  • Zoom Rooms для macOS до версии 5.14.5

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23027 08/08/2023 Клиент Zoom для ПК для Windows: недостаточная проверка подлинности данных Критический CVE-2023-36541

Уровень серьезности: Критический

Оценка по CVSS: 8

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Описание: Из-за недостаточной проверки подлинности данных в клиентах Zoom для ПК для Windows до версии 5.14.5 авторизированные пользователи могут разрешить эскалацию привилегии с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.14.5

Источник: По данным sim0nsecurity.

ZSB-23026 08/08/2023 Клиент Zoom для ПК для Windows: недостоверный путь поиска Критический CVE-2023-36540

Уровень серьезности: Критический

Оценка по CVSS: 7.3

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Описание: Из-за недостоверного пути поиска в клиенте Zoom для ПК для Windows до версии 5.14.5 авторизованные пользователи могут разрешить эскалацию привилегии с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.14.5

Источник: По данным sim0nsecurity.

ZSB-23024 07/11/2023 Ненадлежащий контроль доступа Критический CVE-2023-36538

Уровень серьезности: Критический

Оценка по CVSS: 8.4

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Описание: Из-за ненадлежащего контроля доступа в Zoom Rooms для Windows до версии 5.15.0 аутентифицированные пользователи могут разрешить эскалацию привилегии с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Rooms для Windows до версии 5.15.0

Источник: По данным sim0nsecurity.

ZSB-23023 07/11/2023 Ненадлежащее управление привилегиями Критический CVE-2023-36537

Уровень серьезности: Критический

Оценка по CVSS: 7.3

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Описание: Из-за ненадлежащего управления привилегиями в Zoom Rooms для Windows до версии 5.14.5 аутентифицированные пользователи могут разрешить эскалацию привилегии с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Rooms для Windows до версии 5.14.5

Источник: По данным sim0nsecurity.

ZSB-23022 07/11/2023 Недостоверный путь поиска Критический CVE-2023-36536

Уровень серьезности: Критический

Оценка по CVSS: 8.2

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Описание: Из-за недостоверного пути поиска в инструменте установки для Zoom Rooms для Windows до версии 5.15.0 аутентифицированные пользователи могут разрешить эскалацию привилегии с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Rooms для Windows до версии 5.15.0

Источник: По данным sim0nsecurity.

ZSB-23021 07/11/2023 Незащищенный временный файл Критический CVE-2023-34119

Уровень серьезности: Критический

Оценка по CVSS: 8.2

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Описание: Из-за незащищенного временного файла в инструменте установки Zoom Rooms для Windows до версии 5.15.0 аутентифицированные пользователи могут разрешить эскалацию привилегии с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Rooms для Windows до версии 5.15.0

Источник: По данным sim0nsecurity.

ZSB-23020 07/11/2023 Ненадлежащее управление привилегиями Критический CVE-2023-34118

Уровень серьезности: Критический

Оценка по CVSS: 7.3

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Описание: Из-за ненадлежащего управления привилегиями в Zoom Rooms для Windows до версии 5.14.5 аутентифицированные пользователи могут разрешить эскалацию привилегии с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Rooms для Windows до версии 5.14.5

Источник: По данным sim0nsecurity.

ZSB-23019 07/11/2023 Обход относительного пути Критический CVE-2023-34117

Уровень серьезности: Критический

Оценка по CVSS: 3.3

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

Описание: Из-за обхода относительного пути в пакете средств для разработки ПО клиента Zoom до версии 5.15.0 неавторизованные пользователи могут разрешить раскрытие информации с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Пакет средств для разработки ПО клиента Zoom до версии 5.15.0

Источник: По данным Димитриоса Вальсамараса (Dimitrios Valsamaras) из Microsoft.

ZSB-23018 07/11/2023 Ненадлежащая проверка входных данных Критический CVE-2023-34116

Уровень серьезности: Критический

Оценка по CVSS: 8.2

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:H

Описание: Из-за ненадлежащей проверки входных данных в клиенте Zoom для ПК для Windows до версии 5.15.0 неавторизованные пользователи могут разрешить эскалацию привилегии с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.15.0

Источник: По данным sim0nsecurity.

ZSB-23025 06/29/2023 Подверженность конфиденциальной информации риску Критический CVE-2023-36539

Уровень серьезности: Критический

Оценка по CVSS: 5.3

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

Описание: Если информация, которая должна шифроваться некоторыми клиентами Zoom, подвержена риску, это может привести к раскрытию конфиденциальной информации.

Zoom шифрует сообщения чата в конференции с помощью ключа для каждой конференции, а затем передает эти зашифрованные сообщения между устройствами пользователей и Zoom, используя шифрование TLS. В затронутых продуктах копия каждого сообщения чата в конференции также отправлялась зашифрованной только с помощью TLS, а не ключа для каждой конференции. Это относится и к сообщениям, которые отправляются во время конференций со сквозным шифрованием (E2EE).

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download, а также избегая использования чата в конференции в затронутых версиях.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows версий 5.15.0 и 5.15.1.
  • Клиент Zoom для ПК для macOS только версии 5.15.0
  • Клиент Zoom для ПК для Linux только версии 5.15.0.
  • Мобильное приложение Zoom для iOS только версии 5.15.0.
  • Мобильное приложение Zoom для Android только версии 5.15.0.
  • Zoom Rooms для Windows только версии 5.15.0.
  • Zoom Rooms для macOS только версии 5.15.0.
  • Zoom Rooms для iPad только версии 5.15.0.
  • Устройство Zoom Phone только версии 5.15.0.
  • Пакет средств для разработки ПО Zoom Meeting для Android только версии 5.15.0.
  • Пакет средств для разработки ПО Zoom Meeting для iOS только версии 5.15.0.
  • Пакет средств для разработки ПО Zoom Meeting для macOS только версии 5.15.0.
  • Пакет средств для разработки ПО Zoom Meeting для Windows только версии 5.15.1.
  • Zoom Video SDK для Windows только версии 1.8.0
  • Zoom Video SDK для macOS только версии 1.8.0
  • Zoom Video SDK для Android только версии 1.8.0
  • Zoom Video SDK для iOS только версии 1.8.0
  • Zoom Video SDK для Linux только версии 1.8.0

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23017 06/13/2023 Копирование в буфер без проверки размера вводимых данных Критический CVE-2023-34115

Уровень серьезности: Критический

Оценка по CVSS: 4.0

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Описание: Копирование в буфер без проверки размера вводимых данных в пакете средств для разработки ПО Zoom Meeting до версии 5.13.0 может позволить аутентифицированному пользователю потенциально разрешить атаку типа «отказ в обслуживании» с помощью локального доступа. Из-за этой проблемы может произойти аварийное завершение работы пакета средств для разработки ПО Zoom Meeting, и его потребуется перезапустить.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Пакет средств для разработки ПО Zoom Meeting до версии 5.13.0.

Источник: По данным Юджина Лима (Eugene Lim)

ZSB-23016 06/13/2023 Раскрытие ресурса в ненадлежащей сфере Критический CVE-2023-34114

Уровень серьезности: Критический

Оценка по CVSS: 4.3

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N

Описание: Раскрытие ресурса в ненадлежащей сфере в клиентах Zoom for Windows и Zoom for macOS до версии 5.14.10 может позволить аутентифицированному пользователю потенциально разрешить раскрытие информации с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom for Windows до версии 5.14.10
  • Zoom for macOS до версии 5.14.10

Источник: По данным Сиддхи Катарии (Siddhi Katariya, chikorita)

ZSB-23015 06/13/2023 Недостаточная проверка подлинности данных Критический CVE-2023-34113

Уровень серьезности: Критический

Оценка по CVSS: 8

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Описание: Недостаточная проверка подлинности данных в клиентах Zoom for Windows до версии 5.14.0 может позволить аутентифицированному пользователю потенциально разрешить повышение привилегии с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиенты Zoom for Windows до версии 5.14.0

Источник: По данным sim0nsecurity

ZSB-23014 06/13/2023 Ненадлежащая проверка входных данных Критический CVE-2023-34122

Уровень серьезности: Критический

Оценка по CVSS: 7.3

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Описание: Ненадлежащая проверка входных данных в инструменте установки клиентов Zoom for Windows до версии 5.14.0 может позволить аутентифицированному пользователю потенциально разрешить эскалацию привилегии с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиенты Zoom for Windows до версии 5.14.0

Источник: По данным sim0nsecurity

ZSB-23013 06/13/2023 Ненадлежащая проверка входных данных Критический CVE-2023-34121

Уровень серьезности: Критический

Оценка по CVSS: 4.9

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N

Описание: Ненадлежащая проверка входных данных в клиентах Zoom for Windows, Zoom Rooms, Zoom VDI Meeting для Windows до версии 5.14.0 может позволить аутентифицированному пользователю потенциально разрешить эскалацию привилегии с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиенты Zoom for Windows до версии 5.14.0
  • Клиент Zoom Rooms для Windows до версии 5.14.0
  • Клиенты Zoom VDI Meeting для Windows до версии 5.14.0

Источник: По данным Мохита Равата (Mohit Rawat), ASPIA InfoTech

ZSB-23012 06/13/2023 Ненадлежащее управление привилегиями Критический CVE-2023-34120

Уровень серьезности: Критический

Оценка по CVSS: 8.7

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L

Описание: Ненадлежащее управление привилегиями в клиентах Zoom for Windows, Zoom Rooms для Windows и Zoom VDI для Windows до версии 5.14.0 может позволить аутентифицированному пользователю потенциально разрешить эскалацию привилегии с помощью локального доступа. Пользователи могут потенциально использовать системные привилегии высшего уровня, которые поддерживает клиент Zoom, для создания процессов с повышенными привилегиями.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиенты Zoom for Windows до версии 5.14.0
  • Клиент Zoom Rooms для Windows до версии 5.14.0
  • Клиенты Zoom VDI Meeting для Windows до версии 5.14.0

Источник: По данным sim0nsecurity

ZSB-23011 06/13/2023 Ненадлежащий контроль доступа в инструменте установки клиента Zoom VDI Критический CVE-2023-28603

Уровень серьезности: Критический

Оценка по CVSS: 7.7

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:L

Описание: Инструмент установки клиента Zoom VDI до версии 5.14.0 имеет уязвимость, связанную с ненадлежащим контролем доступа. Злоумышленник может потенциально удалить локальные файлы без соответствующих разрешений.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Инструмент установки Zoom VDI Meeting для Windows до версии 5.14.0

Источник: По данным sim0nsecurity

ZSB-23010 06/13/2023 Ненадлежащая проверка криптографической подписи в клиентах Zoom Критический CVE-2023-28602

Уровень серьезности: Критический

Оценка по CVSS: 2.8

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N

Описание: Клиенты Zoom for Windows до версии 5.13.5 имеют уязвимость, связанную с ненадлежащей проверкой криптографической подписи. Злоумышленник может потенциально понизить версию компонентов клиента Zoom.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиенты Zoom for Windows до версии 5.13.5

Источник: По данным Кирин (Kirin, Pwnrin)

ZSB-23009 06/13/2023 Ненадлежащее ограничение операций в пределах буфера памяти в клиентах Zoom Критический CVE-2023-28601

Уровень серьезности: Критический

Оценка по CVSS: 2

Векторная последовательность CVSS: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

Описание: Клиенты Zoom for Windows до версии 5.14.0 имеют уязвимость, связанную с ненадлежащим ограничением операций в пределах буфера памяти. Злоумышленник может вносить изменения в защищенный буфер памяти клиента Zoom, что потенциально может привести к проблемам с целостностью в клиенте Zoom.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиенты Zoom for Windows до версии 5.14.0

Источник: По данным sim0nsecurity

ZSB-23008 06/13/2023 Ненадлежащий контроль доступа в клиентах Zoom Критический CVE-2023-28600

Уровень серьезности: Критический

Оценка по CVSS: 6.6

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:L

Описание: Клиенты Zoom for macOS до версии 5.14.0 имеют уязвимость, связанную с ненадлежащим контролем доступа. Злоумышленник может иметь возможность удалять или заменять файлы в клиенте Zoom, что потенциально может привести к утрате целостности и доступности в клиенте Zoom.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиенты Zoom for macOS до версии 5.14.0

Источник: По данным Коха М. Накагавы (Koh M. Nakagawa, tsunek0h)

ZSB-23007 06/13/2023 Уязвимость, связанная со вставкой HTML, в клиентах Zoom Критический CVE-2023-28599

Уровень серьезности: Критический

Оценка по CVSS: 4.2

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

Описание: Клиенты Zoom до версии 5.13.10 имеют уязвимость, связанную со вставкой HTML. Злоумышленник может вставить HTML в отображаемое имя, из-за чего пользователь может перейти на вредоносный веб-сайт во время создания конференции.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиенты Zoom for Android, iOS, Linux, macOS и Windows до версии 5.13.10

Источник: По данным Мохита Равата (Mohit Rawat), ASPIA InfoTech

ZSB-23006 06/13/2023 Вставка HTML в клиентах Zoom for Linux Критический CVE-2023-28598

Уровень серьезности: Критический

Оценка по CVSS: 7.5

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Описание: Клиенты Zoom for Linux до версии 5.13.10 имеют уязвимость, связанную со вставкой HTML. Если пользователь начнет чат со злоумышленником, это может привести к аварийному завершению работы приложения Zoom.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиенты Zoom for Linux до версии 5.13.10

Источник: По данным Энтони Роли (Antoine Roly, aroly)

ZSB-23005 03/14/2023 Ненадлежащее внедрение границы доверия для SMB в клиентах Zoom [Updated 2023-04-07] Критический CVE-2023-28597

Уровень серьезности: Критический

Оценка по CVSS: 8.3

Векторная последовательность CVSS: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

Описание: Клиенты Zoom до версии 5.13.5 содержат уязвимость, связанную с неправильным внедрением границы доверия. Если жертва сохраняет локальную запись в расположении SMB, а затем открывает ее по ссылке, представленной на веб-портале Zoom, злоумышленник, находящийся в смежной для клиента жертвы сети, может настроить вредоносный сервер SMB для ответа на запросы клиента, заставляя клиент выполнять контролируемые злоумышленником исполняемые файлы. В результате этого злоумышленник получает доступ к устройству и данным пользователя и осуществляет удаленное выполнение кода.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

* Изменения: 07.04.2023. Из раздела «Затронутые продукты» удалены упоминания Android и iOS.

Затрагиваемые продукты:

  • Клиенты Zoom (для Linux, macOS и Windows) до версии 5.13.5
  • Клиенты Zoom Rooms (для Linux, macOS и Windows) до версии 5.13.5
  • Zoom Client for Meetings для VDI Windows до версии 5.13.10.

Источник: По данным отдела наступательной безопасности Zoom

ZSB-23004 03/14/2023 Повышение локальных привилегий в установщиках Zoom for macOS Критический CVE-2023-28596

Уровень серьезности: Критический

Оценка по CVSS: 5.2

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L

Описание: Установщики клиента Zoom для ИТ-администраторов macOS до версии 5.13.5 содержат уязвимость, связанную с повышением локальных привилегий. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью в цепочке атак во время установки для повышения своих привилегий до уровня корневых.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Установщики Zoom Client for Meetings для ИТ-администраторов macOS до версии 5.13.5.

Источник: По данным Коха М. Накагавы (Koh M. Nakagawa) (tsunekoh)

ZSB-23003 03/14/2023 Повышение локальных привилегий в установщиках Zoom for Windows Критический CVE-2023-22883

Уровень серьезности: Критический

Оценка по CVSS: 7.2

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:N/I:H/A:H

Описание: Установщики клиента Zoom для ИТ-администраторов Windows до версии 5.13.5 содержат уязвимость, связанную с повышением локальных привилегий. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью в цепочке атак во время установки для повышения своих привилегий до уровня пользователя СИСТЕМЫ.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Установщики Zoom Client for Meetings для ИТ-администраторов Windows до версии 5.13.5.

Источник: По данным sim0nsecurity

ZSB-23002 03/14/2023 Отказ в обслуживании в клиентах Zoom Критический CVE-2023-22881
CVE-2023-22882

Уровень серьезности: Критический

Оценка по CVSS: 6,5

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Описание: Клиенты Zoom до версии 5.13.5 содержат уязвимость, связанную с анализом STUN. Злоумышленник может отправить жертве — клиенту Zoom специально созданный трафик UDP, чтобы удаленно привести к сбою клиента, вызвав отказ в обслуживании.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиенты Zoom (для Android, iOS, Linux, macOS и Windows) до версии 5.13.5.

Источник: По данным отдела наступательной безопасности Zoom

ZSB-23001 03/14/2023 Раскрытие информации в клиентах Zoom for Windows Критический CVE-2023-22880

Уровень серьезности: Критический

Оценка по CVSS: 6.8

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N

Описание: Клиенты Zoom for Windows до версии 5.13.3, клиенты Zoom Rooms для Windows до версии 5.13.5 и клиенты Zoom VDI для Windows до версии 5.13.1 содержат уязвимость, связанную с раскрытием информации. Недавнее обновление в среде выполнения Microsoft Edge WebView2, используемое затронутыми клиентами Zoom, привело к передаче текста в онлайн-сервис проверки орфографии Microsoft, а не в локальное средство проверки орфографии Windows. Обновление Zoom позволяет устранить эту уязвимость путем отключения функции. Обновление среды выполнения Microsoft Edge WebView2 по меньшей мере до версии 109.0.1481.0 и перезапуск Zoom позволяют устранить эту уязвимость путем обновления поведения телеметрии Microsoft.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиенты Zoom for Windows до версии 5.13.3.
  • Клиенты Zoom Rooms для Windows до версии 5.13.3.
  • Клиенты Zoom VDI для Windows до версии 5.13.1.

Источник: По данным отдела безопасности Zoom

ZSB-22035 01/06/2023 Повышение локальных привилегий в установщиках Zoom Rooms для Windows Критический CVE-2022-36930

Уровень серьезности: Критический

Оценка по CVSS: 8.2

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Описание: Установщики Zoom Rooms для Windows до версии 5.13.0 содержат уязвимость, связанную с повышением локальных привилегий. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью в цепочке атак для повышения своих привилегий до уровня пользователя СИСТЕМЫ.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Установщики Zoom Rooms для Windows до версии 5.13.0.

Источник: По данным sim0nsecurity

ZSB-22034 01/06/2023 Повышение локальных привилегий в клиентах Zoom Rooms для Windows Критический CVE-2022-36929

Уровень серьезности: Критический

Оценка по CVSS: 7.8

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

Описание: Клиенты Zoom Rooms для Windows до версии 5.12.7 содержат уязвимость, связанную с повышением локальных привилегий. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью в цепочке атак для повышения своих привилегий до уровня пользователя СИСТЕМЫ.
Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиенты Zoom Rooms для Windows до версии 5.12.7.

Источник: По данным sim0nsecurity

ZSB-22033 01/06/2023 Выход за пределы назначенного каталога в клиентах Zoom for Android Критический CVE-2022-36928

Уровень серьезности: Критический

Оценка по CVSS: 6.1

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N

Описание: Клиенты Zoom for Android до версии 5.13.0 содержат уязвимость, связанную с выходом за пределы назначенного каталога. Сторонние приложения могут использовать эту уязвимость для осуществления операций чтения и записи в каталоге данных приложения Zoom.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиенты Zoom for Android до версии 5.13.0.

Источник: По данным Димитриоса Вальсамараса (Dimitrios Valsamaras) из Microsoft

ZSB-22032 01/06/2023 Повышение локальных привилегий в клиентах Zoom Rooms для macOS Критический CVE-2022-36926
CVE-2022-36927

Уровень серьезности: Критический

Оценка по CVSS: 8.8

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Описание: Клиенты Zoom Rooms для macOS до версии 5.11.3 содержат уязвимость, связанную с повышением локальных привилегий. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью для эскалации своих привилегий до уровня root.
Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиенты Zoom Rooms для macOS до версии 5.11.3.

Источник: По данным Кирин (Kirin, Pwnrin)

ZSB-22031 01/06/2023 Небезопасное создание ключей для клиентов Zoom Rooms для macOS Критический CVE-2022-36925

Уровень серьезности: Критический

Оценка по CVSS: 4.4

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

Описание: Клиенты Zoom Rooms для macOS до версии 5.11.4 содержат небезопасный механизм создания ключей. Ключ шифрования, используемый для IPC между службой управляющей программы Zoom Rooms и клиентом Zoom Rooms, создавался с помощью параметров, которые может получить локальное приложение с минимальными привилегиями. Затем этот ключ может использоваться для взаимодействия со службой управляющей программы в целях выполнения привилегированных функций и привести к локальному отказу в обслуживании.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Rooms для macOS до версии 5.11.4.

Источник: По данным Кирин (Kirin, Pwnrin)

ZSB-22030 11/15/2022 Повышение локальных привилегий в инструменте установки Zoom Rooms для Windows Критический CVE-2022-36924

Уровень серьезности: Критический

Оценка по CVSS: 8.8

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Описание: Инструмент установки Zoom Rooms для Windows до версии 5.12.6 имеет уязвимость, связанную с повышением локальных привилегий. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью во время установки для повышения своих привилегий до уровня пользователя системы.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Инструмент установки Zoom Rooms для Windows до версии 5.12.6

Источник: По данным sim0nsecurity

ZSB-22029 11/15/2022 Повышение локальных привилегий в инструменте установки Zoom Client for Meetings для macOS Критический CVE-2022-28768

Уровень серьезности: Критический

Оценка по CVSS: 8.8

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Описание: Инструмент установки Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов) до версии 5.12.6 имеет уязвимость, связанную с повышением локальных привилегий. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью во время установки для повышения своих привилегий до уровня привилегированного пользователя.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Инструмент установки Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов) до версии 5.12.6

Источник: По данным Коха М. Накагавы (Koh M. Nakagawa) (tsunekoh)

ZSB-22027 11/15/2022 DLL-инъекция в клиенты Zoom для Windows Критический CVE-2022-28766

Уровень серьезности: Критический

Оценка по CVSS: 8.1

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L

Описание: Zoom Client for Meetings для 32-разрядной системы Windows до версии 5.12.6 и Zoom Rooms для конференц-залов до версии 5.12.6 подвержены уязвимости, связанной с DLL-инъекцией. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью для запуска произвольного кода в контексте клиента Zoom для ПК.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings для Windows (32-разрядной) до версии 5.12.6
  • Клиент Zoom VDI Meeting для Windows (32-разрядной системы Windows) до версии 5.12.6
  • Zoom Rooms для конференц-залов для Windows (32-разрядной) до версии 5.12.6

Источник: По данным sim0nsecurity

ZSB-22025 11/10/2022 Локальное раскрытие информации в клиентах Zoom Критический CVE-2022-28764

Уровень серьезности: Критический

Оценка по CVSS: 3.3

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Описание: Решения Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.12.6 подвержены уязвимости, связанной с локальным раскрытием информации.

В результате сбоя при очистке данных в локальной базе данных SQL после завершения конференции и использования для этой базы данных недостаточно безопасных методов шифрования ключа для каждого устройства злоумышленник, являющийся локальным пользователем, может получить данные конференции, например сообщения чата в предыдущей конференции, к которой подключались с помощью учетной записи этого локального пользователя.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.12.6
  • Zoom Client for Meetings для VDI Windows до версии 5.12.6
  • Zoom Rooms для конференц-залов (Android, iOS, Linux, macOS и Windows) до версии 5.12.6

Источник: По данным Кристиана Цеске (Christian Zäske) из SySS GmbH

ZSB-22024 10/24/2022 Ненадлежащий анализ URL в Zoom desktop client или Zoom mobile app Критический CVE-2022-28763

Уровень серьезности: Критический

Оценка по CVSS: 8.8

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Описание: Решения Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.12.2 подвержены уязвимости, связанной с анализом URL. Перейдя по вредоносному URL на конференцию Zoom, пользователь может подключиться к произвольному сетевому адресу, что приведет к дополнительным атакам, в том числе перехватам сеансов.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.12.2
  • Zoom Client for Meetings для VDI Windows до версии 5.12.2
  • Zoom Rooms для конференц-залов (Android, iOS, Linux, macOS и Windows) до версии 5.12.2

Источник: По данным отдела безопасности Zoom

ZSB-22023 10/11/2022 Неправильная настройка порта отладки в Zoom Apps в Zoom Client for Meetings для macOS Критический CVE-2022-28762

Уровень серьезности: Критический

Оценка по CVSS: 7.3

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

Описание: Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов), начиная с версии 5.10.6 и до версии 5.12.0, имеет неправильную настройку порта отладки. Если при запуске определенных Zoom Apps в слоях API Zoom Apps включено отображение контекста в режиме камеры, Zoom desktop client открывает локальный порт отладки. Локальный злоумышленник может использовать этот порт отладки для подключения к Zoom Apps, запущенным в Zoom desktop client, и управления ими.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов), начиная с версии 5.10.6 и до версии 5.12.0

Источник: По данным отдела безопасности Zoom

ZSB-22022 10/11/2022 Локальные развертывания Zoom: ненадлежащий контроль доступа Критический CVE-2022-28761

Уровень серьезности: Критический

Оценка по CVSS: 6,5

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Описание: MMR локального коннектора конференций Zoom до версии 4.8.20220916.131 имеет уязвимость, связанную с ненадлежащим контролем доступа. Вследствие этого злоумышленник, присутствующий на конференции или вебинаре, к которым ему разрешен доступ, может препятствовать тому, чтобы участники получали звук и видео, приводя таким образом к срывам конференций.

Что касается локальных развертываний Zoom, ИТ-администраторы могут поддерживать актуальное состояние своего программного обеспечения Zoom, следуя указаниям на странице https://support.zoom.us/hc/en-us/articles/360043960031

Затрагиваемые продукты:

  • MMR локального коннектора конференций Zoom до версии 4.8.20220916.131

Источник: По данным отдела наступательной безопасности Zoom

ZSB-22021 09/13/2022 Локальные развертывания Zoom: ненадлежащий контроль доступа Критический CVE-2022-28760

Уровень серьезности: Критический

Оценка по CVSS: 6,5

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Описание: MMR локального коннектора конференций Zoom до версии 4.8.20220815.130 имеет уязвимость, связанную с ненадлежащим контролем доступа. Вследствие этого злоумышленник может присоединиться к конференции, к которой ему разрешен доступ, и при этом другие участники не будут его видеть.

Что касается локальных развертываний Zoom, ИТ-администраторы могут поддерживать актуальное состояние своего программного обеспечения Zoom, следуя указаниям на странице https://support.zoom.us/hc/en-us/articles/360043960031

Затрагиваемые продукты:

  • MMR локального коннектора конференций Zoom до версии 4.8.20220815.130

Источник: По данным отдела наступательной безопасности Zoom

ZSB-22020 09/13/2022 Локальные развертывания Zoom: ненадлежащий контроль доступа Критический CVE-2022-28758
CVE-2022-28759

Уровень серьезности: Критический

Оценка по CVSS: 8.2

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Описание: MMR локального коннектора конференций Zoom до версии 4.8.20220815.130 имеет уязвимость, связанную с ненадлежащим контролем доступа. Вследствие этого злоумышленник может получить доступ к аудио- и видеопотоку конференции, к которой он присоединился без разрешения, что может привести к ее срыву.

Что касается локальных развертываний Zoom, ИТ-администраторы могут поддерживать актуальное состояние своего программного обеспечения Zoom, следуя указаниям на странице https://support.zoom.us/hc/en-us/articles/360043960031

Затрагиваемые продукты:

  • MMR локального коннектора конференций Zoom до версии 4.8.20220815.130

Источник: По данным отдела безопасности Zoom

ZSB-22019 08/17/2022 Эскалация локальных привилегий в инструменте автоматического обновления: Zoom Client for Meetings для macOS Критический CVE-2022-28757

Уровень серьезности: Критический

Оценка по CVSS: 8.8

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Описание: Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов), начиная с версии 5.7.3 и до версии 5.11.6, имеет уязвимость, связанную с процессом автоматического обновления. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью для эскалации своих привилегий до уровня root.

Примечание. Эта проблема позволяет обойти исправление, выпущенное в версии 5.11.5 для решения CVE-2022-28756.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов), начиная с версии 5.7.3 и до версии 5.11.6

Источник: По данным Ксабы Фитцля (Csaba Fitzl, theevilbit), Offensive Security

ZSB-22018 08/13/2022 Эскалация локальных привилегий в инструменте автоматического обновления: продукты Zoom для macOS [Updated 2022-09-13] Критический CVE-2022-28756

Уровень серьезности: Критический

Оценка по CVSS: 8.8

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Описание: Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов), начиная с версии 5.7.3 и до версии 5.11.5, и Zoom Rooms для конференц-залов для macOS до версии 5.11.6 имеет уязвимость, связанную с процессом автоматического обновления. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью для эскалации своих привилегий до уровня root.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

* Изменения: 13.09.2022. Обновлены заголовок и описание, в раздел «Затронутые продукты» добавлено решение Zoom Rooms.

Затрагиваемые продукты:

  • Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов), начиная с версии 5.7.3 и до версии 5.11.5
  • Zoom Rooms для конференц-залов для macOS до версии 5.11.6

Источник: По данным Патрика Уордла (Patrick Wardle) из Objective-See

ZSB-22017 08/09/2022 Эскалация локальных привилегий в Zoom Client for Meetings для macOS Критический CVE-2022-28751

Уровень серьезности: Критический

Оценка по CVSS: 8.8

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Описание: Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов) до версии 5.11.3 имеет уязвимость, связанную с проверкой подписи пакета в процессе обновления. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью для эскалации своих привилегий до уровня root.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов) до версии 5.11.3

Источник: По данным Патрика Уордла (Patrick Wardle) из Objective-See

ZSB-22014 08/09/2022 Локальные развертывания Zoom: ненадлежащий контроль доступа Критический CVE-2022-28753
CVE-2022-28754

Уровень серьезности: Критический

Оценка по CVSS: 7,1

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N

Описание: MMR локального коннектора конференций Zoom до версии 4.8.129.20220714 имеет уязвимость, связанную с ненадлежащим контролем доступа. Вследствие этого злоумышленник может присоединиться к конференции, к которой ему разрешен доступ, и при этом другие участники не будут его видеть, может допустить себя на конференцию из зала ожидания, стать организатором и сорвать конференцию иными действиями.

Что касается локальных развертываний Zoom, ИТ-администраторы могут поддерживать актуальное состояние своего программного обеспечения Zoom, следуя указаниям на странице https://support.zoom.us/hc/en-us/articles/360043960031

Затрагиваемые продукты:

  • MMR локального коннектора конференций Zoom до версии 4.8.129.20220714

Источник: По данным отдела наступательной безопасности Zoom

ZSB-22016 08/09/2022 Ненадлежащий анализ URL в Zoom desktop client или Zoom mobile app [Updated 2022-10-24] Критический CVE-2022-28755

Уровень серьезности: Критический

Оценка по CVSS: 9.6

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Описание: Решения Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.11.0 подвержены уязвимости, связанной с анализом URL. Перейдя по вредоносному URL на конференцию Zoom, пользователь может подключиться к произвольному сетевому адресу, что приведет к дополнительным атакам, в том числе сделает возможным удаленное выполнение кода путем запуска исполняемых файлов из произвольных путей.

* Изменения: 24.10.2022. В раздел «Затронутые продукты» добавлено решение Zoom Rooms.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.11.0

Источник: По данным отдела наступательной безопасности Zoom

ZSB-22012 08/09/2022 Локальные развертывания Zoom: переполнение буфера стека в коннекторе конференций Критический CVE-2022-28750

Уровень серьезности: Критический

Оценка по CVSS: 7.5

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Описание: Локальный контроллер зон (ZC) коннектора конференций Zoom до версии 4.8.20220419.112 не может надлежащим образом анализировать коды ошибок STUN, что может привести к повреждению памяти и позволит злоумышленнику выполнить аварийное завершение работы приложения. В версиях до 4.8.12.20211115 эту уязвимость также могут использовать для выполнения произвольного кода.

Что касается локальных развертываний Zoom, ИТ-администраторы могут поддерживать актуальное состояние своего программного обеспечения Zoom, следуя рекомендациям на странице https://support.zoom.us/hc/en-us/articles/360043960031

Затрагиваемые продукты:

  • Локальный контроллер зон (ZC) коннектора конференций Zoom до версии 4.8.20220419.112

Источник: По данным отдела наступательной безопасности Zoom

ZSB-22011 06/14/2022 Недостаточная проверка авторизации во время присоединения к конференции Критический CVE-2022-28749

Уровень серьезности: Критический

Оценка по CVSS: 6,5

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Описание: Мультимедийный маршрутизатор локального коннектора конференций Zoom до версии 4.8.113.20220526 не может надлежащим образом проверить разрешения присутствующих на конференциях Zoom. В результате этого злоумышленники в зале ожидания Zoom могут присоединяться к конференции без согласия организатора.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Локальный коннектор конференций до версии 4.8.113.20220526.

Источник: По данным отдела наступательной безопасности Zoom

ZSB- 22010 06/14/2022 DLL-инъекция в инструмент установки Zoom Opener для Zoom Client for Meetings и клиента Zoom Rooms Критический CVE-2022-22788

Уровень серьезности: Критический

Оценка по CVSS: 7,1

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

Описание: Пользователи загружают инструмент установки Zoom Opener на странице запуска конференции при попытке присоединиться к конференции без установки Zoom Client for Meetings. Инструмент установки Zoom Opener для Zoom Client for Meetings до версии 5.10.3 и Zoom Rooms для конференц-залов для Windows до версии 5.10.3 подвержен атакам типа «DLL-инъекция». Эта уязвимость может использоваться для запуска произвольного кода на узле жертвы.

Пользователи могут помочь обезопасить себя, удалив более ранние версии и запуская последние версии инструмента установки Zoom Opener с помощью кнопки «Загрузить сейчас» на странице запуска конференции. Кроме того, пользователи могут защитить себя, загрузив новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings для Windows до версии 5.10.3.
  • Все Zoom Rooms для конференц-залов для Windows до версии 5.10.3.

Источник: По данным Джеймса Цз Ко Юнга (James Tsz Ko Yeung)

ZSB-22009 05/17/2022 Недостаточная проверка имени узла во время переключения сервера в Zoom Client for Meetings Критический CVE-2022-22787

Уровень серьезности: Критический

Оценка по CVSS: 5,9

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Описание: Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.10.0 не удается надлежащим образом проверить имя узла во время выполнения запроса на переключение сервера. Эту проблему могут использовать в более сложной атаке с целью обманным путем заставить клиент ничего не подозревающего пользователя подключиться к вредоносному серверу при попытке воспользоваться услугами Zoom.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.10.0

Источник: По данным Ивана Фратрика из Google Project Zero

ZSB-22008 05/17/2022 Обновление в целях понижения пакета до предыдущей версии в Zoom Client for Meetings для Windows Критический CVE-2022-22786

Уровень серьезности: Критический

Оценка по CVSS: 7.5

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Описание: Zoom Client for Meetings для Windows до версии 5.10.0 и Zoom Rooms для конференц-залов для Windows до версии 5.10.0 не удается надлежащим образом проверить версию установки во время процесса обновления. Эту проблему могут использовать в более сложной атаке с целью обманным путем заставить пользователя понизить версию Zoom Desktop Client до менее безопасной.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Все версии Zoom Client for Meetings для Windows до версии 5.10.0
  • Все Zoom Rooms для конференц-залов для Windows до версии 5.10.0

Источник: По данным Ивана Фратрика из Google Project Zero

ZSB-22007 05/17/2022 Ненадлежащее ограничение файлов cookie сеанса в Zoom Client for Meetings Критический CVE-2022-22785

Уровень серьезности: Критический

Оценка по CVSS: 5,9

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Описание: Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.10.0 не удается надлежащим образом ограничить файлы cookie сеанса клиента, чтобы они использовались только для доменов Zoom. Эту проблему могут использовать в более сложной атаке с целью отправить файлы cookie сеанса Zoom отдельного пользователя на домен, не принадлежащий Zoom. Этим могут воспользоваться для подмены пользователя Zoom.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.10.0

Источник: По данным Ивана Фратрика из Google Project Zero

ZSB- 22006 05/17/2022 Неправильный анализ XML в Zoom Client for Meetings Критический CVE-2022-22784

Уровень серьезности: Критический

Оценка по CVSS: 8.1

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Описание: Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.10.0 не удается надлежащим образом проанализировать XML-стансы в XMPP-сообщениях. Благодаря этому злоумышленник может выйти за рамки контекста текущего XMPP-сообщения и создать новый контекст сообщения, чтобы платформа клиента пользователя, получающего сообщение, выполняла разнообразные действия. Эту проблему могут использовать в более сложной атаке в целях подделки XMPP-сообщений из сервера.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.10.0

Источник: По данным Ивана Фратрика из Google Project Zero

ZSB- 22005 04/27/2022 Незащищенность памяти процесса в локальных службах конференций Zoom Критический CVE-2022-22783

Уровень серьезности: Критический

Оценка по CVSS: 8.3

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/CR:H

Описание: Уязвимость локального контроллера коннектора конференций Zoom версии 4.8.102.20220310 и MMR локального коннектора конференций версии 4.8.102.20220310 заключается в предоставлении подключенным клиентам фрагментов памяти процесса, которые могут просматривать пассивные злоумышленники.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности.

Затрагиваемые продукты:

  • Локальный контроллер коннектора конференций Zoom версии 4.8.102.20220310
  • MMR локального коннектора конференций Zoom версии 4.8.102.20220310

Источник: Отдел наступательной безопасности Zoom

ZSB-22004 04/27/2022 Эскалация локальных привилегий в клиентах Zoom Client для Windows Критический CVE-2022-22782

Уровень серьезности: Критический

Оценка по CVSS: 7.9

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

Описание: Zoom Client for Meetings для Windows до версии 5.9.7, Zoom Rooms для конференц-зала для Windows до версии 5.10.0, плагины Zoom для Microsoft Outlook для Windows до версии 5.10.3 и Zoom Meeting Client для VDI для Windows до версии 5.9.6 были подвержены эскалации локальных привилегий в процессе восстановления программы установки. Злоумышленник мог использовать это для потенциального удаления файлов или папок системного уровня, вызывая проблемы с целостностью или доступностью на хост-машине пользователя.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings для Windows до версии 5.9.7
  • Все версии Zoom Rooms для конференц-залов для Windows до версии 5.10.0
  • Все версии плагинов Zoom для Microsoft Outlook для Windows до версии 5.10.3
  • Все версии Zoom Meeting Client для VDI для Windows до версии 5.9.6

Источник: По данным Zero Day Initiative

ZSB-22003 04/27/2022 Обновление понижения пакета до предыдущей версии в Zoom Client for Meetings для macOS Критический CVE-2022-22781

Уровень серьезности: Критический

Оценка по CVSS: 7.5

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Описание: В Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов) до версии 5.9.6 не удавалось корректно проверить версию пакета в процессе обновления. Таким образом злоумышленник мог обновить версию приложения до менее безопасной на компьютере ничего не подозревающего пользователя.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Все решения Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов) до версии 5.9.6

Источник: По данным Патрика Уордла (Patrick Wardle) из Objective-See

ZSB-22002 02/08/2022 Решение Zoom Team Chat подвержено ZIP-бомбардировке Критический CVE-2022-22780

Уровень серьезности: Критический

Оценка по CVSS: 4.7

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L

Описание: Функция чата Zoom Client for Meetings была подвержена атакам с использованием ZIP-бомб в следующих версиях продукта: для Android до версии 5.8.6, для iOS до версии 5.9.0, для Linux до версии 5.8.6, для macOS до версии 5.7.3 и Windows до версии 5.6.3. Это могло привести к проблемам с доступностью на узле Zoom Client for Meetings ввиду исчерпания системных ресурсов.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Все версии Zoom Client for Meetings для Android до версии 5.8.6
  • Все версии Zoom Client for Meetings для iOS до версии 5.9.0
  • Все версии Zoom Client for Meetings для Linux до версии 5.8.6
  • Все версии Zoom Client for Meetings для macOS до версии 5.7.3
  • Все версии Zoom Client for Meetings для Windows до версии 5.6.3

Источник: По данным Джонни Ву из Walmart Global Tech

ZSB-22001 02/08/2022 Сохранение разбитых на части сообщений в клиентах Keybase Client для macOS и Windows Критический CVE-2022-22779

Уровень серьезности: Критический

Оценка по CVSS: 3.7

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Описание: В клиентах Keybase Client для macOS и Windows до версии 5.9.0 не работает надлежащее удаление разбитых на части сообщений, инициированных пользователем. Такое может наблюдаться, если пользователь, получающий сообщение, переключается на функцию, не связанную с чатом, и переводит узел в спящий режим до того, как пользователь, отправляющий сообщение, разобьет сообщение на части. Это могло приводить к раскрытию конфиденциальной информации, которая должна была быть удалена из файловой системы пользователя.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Keybase со всеми текущими обновлениями безопасности на странице https://keybase.io/download.

Затрагиваемые продукты:

  • Все версии клиента Keybase Client для macOS и Windows до версии 5.9.0.

Источник: По данным Оливии О’Хара (Olivia O'Hara)

ZSB-21022 12/14/2021 Выполнение случайной команды в Keybase Client для Windows Критический CVE-2021-34426

Уровень серьезности: Критический

Оценка по CVSS: 5.3

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

Описание: В Keybase Client для Windows до версии 5.6.0 была обнаружена уязвимость при выполнении пользователем команды «keybase git lfs-config» в командной строке. До версии 5.6.0 злоумышленник с правами на запись в гит-репозиторий пользователя мог потенциально использовать эту уязвимость для выполнения произвольных команд Windows в локальной системе пользователя.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Keybase со всеми текущими обновлениями безопасности на странице https://keybase.io/download.

Затрагиваемые продукты:

  • Все версии Keybase Client для Windows до версии 5.6.0

Источник: По данным RyotaK

ZSB-21021 12/14/2021 Подделка серверного запроса в чате Zoom Client for Meetings Критический CVE-2021-34425

Уровень серьезности: Критический

Оценка по CVSS: 4.7

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N

Описание: В Zoom Client for Meetings до версии 5.7.3 (для Android, iOS, Linux, macOS и Windows) была уязвимость подделки серверного запроса, содержащаяся в функции предпросмотра ссылки в чате. В версиях до 5.7.3 при включении пользователем в чате функции «Предпросмотр ссылки» злоумышленник мог обманом вынудить пользователя потенциально отправлять произвольные запросы HTTP GET на URL-адреса, к которым у злоумышленника нет непосредственного доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Все версии Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.7.3

Источник: По данным Джонни Ву из Walmart Global Tech

ZSB-21020 11/24/2021 Незащищенность памяти процесса в Zoom Client и других продуктах Критический CVE-2021-34424

Уровень серьезности: Критический

Оценка по CVSS: 5.3

Векторная последовательность CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Описание: В продуктах, перечисленных в разделе «Затронутые продукты» этих сводок по безопасности, была обнаружена уязвимость, потенциально раскрывающая состояние памяти процесса. Эту проблему потенциально можно использовать для получения сведений из случайных областей памяти продукта.

Компания Zoom исправила эту проблему в последних выпусках продуктов, перечисленных в разделе ниже. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности.

Затрагиваемые продукты:

  • Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.8.4
  • Zoom Client for Meetings для BlackBerry (Android и iOS) до версии 5.8.1
  • Zoom Client for Meetings для Intune (Android и iOS) до версии 5.8.4
  • Zoom Client for Meetings для Chrome OS до версии 5.0.1
  • Zoom Rooms для конференц-залов (Android, AndroidBali, macOS и Windows) до версии 5.8.3
  • Контроллеры для Zoom Rooms (Android, iOS и Windows) до версии 5.8.3
  • Zoom Meeting Client для VDI Windows до версии 5.8.4
  • Плагины виртуального рабочего стола Azure VDI для Zoom (Windows x86 и x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) до версии 5.8.4.21112
  • Плагины VDI Citrix для Zoom (Windows x86 и x64, универсальное средство установки и удаления программ на Mac, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) до версии 5.8.4.21112
  • Плагины VDI VMware для Zoom (Windows x86 и x64, универсальное средство установки и удаления программ на Mac, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) до версии 5.8.4.21112
  • Пакет средств для разработки ПО Zoom Meeting для Android до версии 5.7.6.1922
  • Пакет средств для разработки ПО Zoom Meeting для iOS до версии 5.7.6.1082
  • Пакет средств для разработки ПО Zoom Meeting для Windows до версии 5.7.6.1081
  • Пакет средств для разработки ПО Zoom Meeting для Mac до версии 5.7.6.1340
  • Пакет средств для разработки ПО для видеосвязи Zoom (Android, iOS, macOS и Windows) до версии 1.1.2
  • Локальный коннектор конференций Zoom до версии 4.8.12.20211115
  • MMR локального коннектора конференций Zoom до версии 4.8.12.20211115
  • Локальный коннектор записи Zoom до версии 5.1.0.65.20211116
  • Локальный коннектор виртуальных залов Zoom до версии 4.4.7266.20211117
  • Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5692.20211117
  • Zoom Hybrid Zproxy до версии 1.0.1058.20211116
  • Zoom Hybrid MMR до версии 4.6.20211116.131_x86-64

Источник: По данным Натали Сильванович (Natalie Silvanovich) из Google Project Zero

ZSB-21019 11/24/2021 Переполнение буфера в Zoom Client и других продуктах Критический CVE-2021-34423

Уровень серьезности: Критический

Оценка по CVSS: 7.3

Векторная последовательность CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Описание: В продуктах, перечисленных в разделе «Затронутые продукты» этих сводок по безопасности, была обнаружена уязвимость переполнения буфера. Потенциально она позволяет злоумышленнику вызвать аварийное завершение службы или приложения. Уязвимость можно также использовать для выполнения случайного кода.

Компания Zoom исправила эту проблему в последних выпусках продуктов, перечисленных в разделе ниже. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности.

Затрагиваемые продукты:

  • Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.8.4
  • Zoom Client for Meetings для BlackBerry (Android и iOS) до версии 5.8.1
  • Zoom Client for Meetings для Intune (Android и iOS) до версии 5.8.4
  • Zoom Client for Meetings для Chrome OS до версии 5.0.1
  • Zoom Rooms для конференц-залов (Android, AndroidBali, macOS и Windows) до версии 5.8.3
  • Контроллеры для Zoom Rooms (Android, iOS и Windows) до версии 5.8.3
  • Zoom Meeting Client для VDI Windows до версии 5.8.4
  • Плагины виртуального рабочего стола Azure VDI для Zoom (Windows x86 и x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) до версии 5.8.4.21112
  • Плагины VDI Citrix для Zoom (Windows x86 и x64, универсальное средство установки и удаления программ на Mac, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) до версии 5.8.4.21112
  • Плагины VDI VMware для Zoom (Windows x86 и x64, универсальное средство установки и удаления программ на Mac, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) до версии 5.8.4.21112
  • Пакет средств для разработки ПО Zoom Meeting для Android до версии 5.7.6.1922
  • Пакет средств для разработки ПО Zoom Meeting для iOS до версии 5.7.6.1082
  • Пакет средств для разработки ПО Zoom Meeting для macOS до версии 5.7.6.1340
  • Пакет средств для разработки ПО Zoom Meeting для Windows до версии 5.7.6.1081
  • Пакет средств для разработки ПО для видеосвязи Zoom (Android, iOS, macOS и Windows) до версии 1.1.2
  • Локальный контроллер коннектора конференций Zoom до версии 4.8.12.20211115
  • MMR локального коннектора конференций Zoom до версии 4.8.12.20211115
  • Локальный коннектор записи Zoom до версии 5.1.0.65.20211116
  • Локальный коннектор виртуальных залов Zoom до версии 4.4.7266.20211117
  • Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5692.20211117
  • Zoom Hybrid Zproxy до версии 1.0.1058.20211116
  • Zoom Hybrid MMR до версии 4.6.20211116.131_x86-64

Источник: Источник. По данным Натали Сильванович (Natalie Silvanovich) из Google Project Zero

ZSB-21018 11/09/2021 Выход за пределы каталога имен файлов в Keybase Client для Windows Критический CVE-2021-34422

Уровень серьезности: Критический

Оценка по CVSS: 7.2

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

Описание: В Keybase Client для Windows до версии 5.7.0 содержалась уязвимость выхода за пределы каталога при проверке имени файла, загруженного в папку команды. Пользователь-злоумышленник мог загрузить файл со специальным именем в общую папку для выполнения приложения, не предназначенного для этой хост-машины. Использование пользователем-злоумышленником этой ошибки с функцией совместного доступа в Keybase Client к открытой папке могло привести к удаленному выполнению кода.

Эта ошибка исправлена в Keybase Client для Windows в выпуске 5.7.0. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Keybase со всеми текущими обновлениями безопасности на странице https://keybase.io/download.

Затрагиваемые продукты:

  • Keybase Client для Windows до версии 5.7.0

Источник: По данным m4t35z

ZSB-21017 11/09/2021 Сохранение разбитых на части сообщений в Keybase Client для Android и iOS Критический CVE-2021-34421

Уровень серьезности: Критический

Оценка по CVSS: 3.7

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Описание: В Keybase Client для Android до версии 5.8.0 и в Keybase Client для iOS до версии 5.8.0 не работает надлежащее удаление разбитых на части сообщений, инициированных пользователем, если сеанс чата у получающего пользователя находится в фоновом режиме в то время, когда у отправляющего пользователя происходит разбивка сообщений. Это могло приводить к раскрытию конфиденциальной информации, которая должна была быть удалена с устройства клиента.

Эта ошибка исправлена в Keybase Client в выпуске 5.8.0 для Android и в выпуске 5.8.0 для iOS. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Keybase со всеми текущими обновлениями безопасности на странице https://keybase.io/download.

Затрагиваемые продукты:

  • Все версии Keybase Client для Android до версии 5.8.0
  • Все версии Keybase Client для iOS до версии 5.8.0

Источник: По данным Оливии О'Хара, Джона Джексона, Джексона Генри и Роберта Уиллиса

ZSB-21016 11/09/2021 Обход подписи исполняемого файла установки Zoom в Windows Критический CVE-2021-34420

Уровень серьезности: Критический

Оценка по CVSS: 4.7

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N

Описание: Установщик Zoom Client for Meetings для Windows до версии 5.5.4 не проверяет надлежащим образом подпись файлов с расширениями .msi, .ps1 и .bat. Это могло привести к установке злоумышленником вредоносного ПО на компьютере клиента.

Компания Zoom исправила эту проблему в выпуске 5.5.4 Zoom Client for Meetings для Windows. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Все версии Zoom Client for Meetings для Windows до версии 5.5.4

Источник: По данным Лорена Делосье (Laurent Delosieres) из ManoMano

ZSB-21015 11/09/2021 Ввод HTML в Zoom Client для Linux Критический CVE-2021-34419

Уровень серьезности: Критический

Оценка по CVSS: 3.7

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

Описание: В Zoom Client for Meetings для Ubuntu Linux до версии 5.1.0 существует дефект ввода HTML при отправке пользователю запроса на удаленное управление во время демонстрации экрана на конференции. Таким образом, участники конференций могли стать жертвами информационно-психологических атак.

Компания Zoom исправила эту проблему в выпуске 5.1.0 Zoom Client for Meetings для Ubuntu Linux. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings для Ubuntu Linux до версии 5.1.0

Источник: По данным Дэнни дэ Виля (Danny de Weille) и Рика Вердозы (Rick Verdoes) из hackdefense

ZSB-21014 11/09/2021 Сбой указателя, содержащего неопределенное значение, при предварительной авторизации в локальной веб-консоли Критический CVE-2021-34418

Уровень серьезности: Критический

Оценка по CVSS: 4.0

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Описание: Для продуктов, перечисленных в разделе «Затронутые продукты» этих сводок по безопасности, в службе входа в веб-консоль не удается проверить отправку неопределенного значения во время авторизации. Это могло привести к аварийному завершению службы входа.

Затрагиваемые продукты:

  • Локальный контроллер коннектора конференций Zoom до версии 4.6.239.20200613
  • MMR локального коннектора конференций Zoom до версии 4.6.239.20200613
  • Локальный коннектор записи Zoom до версии 3.8.42.20200905
  • Локальный коннектор виртуальных залов Zoom до версии 4.4.6344.20200612
  • Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5492.20200616

Источник: По данным Джереми Брауна

ZSB-21013 11/09/2021 Авторизированное выполнение удаленной команды с привилегиями root-пользователя с помощью веб-консоли в MMR Критический CVE-2021-34417

Уровень серьезности: Критический

Оценка по CVSS: 7.9

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N

Описание: В продуктах, перечисленных в разделе «Затронутые продукты» этих сводок по безопасности, на странице сетевого прокси Web Portal не удается проверить значение ввода, отправляемого в запросах на установку пароля сетевого прокси. Это могло привести к вводу удаленной команды администратором Web Portal.

Затрагиваемые продукты:

  • Локальный контроллер коннектора конференций Zoom до версии 4.6.365.20210703
  • MMR локального коннектора конференций Zoom до версии 4.6.365.20210703
  • Локальный коннектор записи Zoom до версии 3.8.45.20210703
  • Локальный коннектор виртуальных залов Zoom до версии 4.4.6868.20210703
  • Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5496.20210703

Источник: По данным Джереми Брауна

ZSB-21012 09/30/2021 Удаленное выполнение кода в локальной среде с помощью Web Portal Критический CVE-2021-34416

Уровень серьезности: Критический

Оценка по CVSS: 5.5

Векторная последовательность CVSS: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N

Описание: Web Portal административных настроек сетевого адреса для локального коннектора конференций Zoom до версии 4.6.360.20210325, MMR локального коннектора конференций Zoom до версии 4.6.360.20210325, локального коннектора записи Zoom до версии 3.8.44.20210326, локального коннектора виртуальных залов Zoom до версии 4.4.6752.20210326 и локального балансировщика нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5495.20210326 не может проверить значение ввода, отправленное в запросах на обновление конфигурации сети, что может привести ко вводу администраторами Web Portal удаленной команды в локальной среде.

Затрагиваемые продукты:

  • Локальный коннектор конференций Zoom до версии 4.6.360.20210325
  • MMR локального коннектора конференций Zoom до версии 4.6.360.20210325
  • Локальный коннектор записи Zoom до версии 3.8.44.20210326
  • Локальный коннектор виртуальных залов Zoom до версии 4.4.6752.20210326
  • Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5495.20210326

Источник: По данным Егора Димитренко (Egor Dimitrenko) из Positive Technologies

ZSB-21011 09/30/2021 Аварийное завершение контроллера зон с помощью ПБД с последующими многочисленными распределениями Критический CVE-2021-34415

Уровень серьезности: Критический

Оценка по CVSS: 7.5

Векторная последовательность CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Описание: Служба контроллера зон в локальном контроллере коннектора конференций Zoom до версии 4.6.358.20210205 не проверяет значение поля cnt, отправленное во входящих сетевых пакетах, что приводит к истощению ресурсов и аварийному завершению работы системы.

Затрагиваемые продукты:

  • Локальный контроллер коннектора конференций Zoom до версии 4.6.358.20210205

Источник: По данным Никиты Абрамова (Nikita Abramov) из Positive Technologies

ZSB-21010 09/30/2021 Удаленное выполнение кода на сервере коннектора конференций с помощью конфигурации сетевого прокси на Web Portal Критический CVE-2021-34414

Уровень серьезности: Критический

Оценка по CVSS: 7.2

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Описание: На странице сетевого прокси Web Portal для локального контроллера коннектора конференций Zoom до версии 4.6.348.20201217, MMR локального коннектора конференций Zoom до версии 4.6.348.20201217, локального коннектора записи Zoom до версии 3.8.42.20200905, локального коннектора виртуальных залов Zoom до версии 4.4.6620.20201110 и локального балансировщика нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5495.20210326 не удается проверить значение ввода, отправленное в запросах на обновление конфигурации сетевого прокси, что может привести ко вводу администраторами Web Portal удаленной команды в локальной среде.

Затрагиваемые продукты:

  • Локальный контроллер коннектора конференций Zoom до версии 4.6.348.20201217
  • MMR локального коннектора конференций Zoom до версии 4.6.348.20201217
  • Локальный коннектор записи Zoom до версии 3.8.42.20200905
  • Локальный коннектор виртуальных залов Zoom до версии 4.4.6620.20201110
  • Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5495.20210326

Источник: По данным Егора Димитренко (Egor Dimitrenko) из Positive Technologies

ZSB-21009 09/30/2021 Эскалация локальных привилегий программы установки плагина Outlook для Zoom в macOS Критический CVE-2021-34413

Уровень серьезности: Критический

Оценка по CVSS: 2.8

Векторная последовательность CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N

Описание: Все версии плагина Zoom для Microsoft Outlook для macOS до версии 5.3.52553.0918 имеют уязвимость, связанную со временем проверки и временем использования (TOC/TOU) в процессе установки плагина. Таким образом, стандартный пользователь мог записать собственное вредоносное приложение в каталог плагинов и позволить запуск этого приложения в среде с повышенными привилегиями.

Затрагиваемые продукты:

  • Все версии плагина Zoom для Microsoft Outlook для macOS до версии 5.3.52553.0918

Источник: По данным группы тестирования внешних угроз компании Lockheed Martin

ZSB-21008 09/30/2021 Эскалация локальных привилегий программы установки Zoom for Windows Критический CVE-2021-34412

Уровень серьезности: Критический

Оценка по CVSS: 4.4

Векторная последовательность CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Описание: В процессе установки всех версий Zoom Client for Meetings для Windows до версии 5.4.0 можно запустить Internet Explorer. При запуске программы установки с повышенными привилегиями (например, SCCM) это может привести к эскалации локальных привилегий.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings для Windows до версии 5.4.0

Источник: По данным группы тестирования внешних угроз компании Lockheed Martin

ZSB-21007 09/30/2021 Эскалация локальных привилегий программы установки Zoom Rooms Критический CVE-2021-34411

Уровень серьезности: Критический

Оценка по CVSS: 4.4

Векторная последовательность CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Описание: В процессе установки Zoom Rooms для конференц-залов для Windows до версии 5.3.0 возможен запуск Internet Explorer с повышенными привилегиями. При запуске программы установки с повышенными привилегиями (например, SCCM) это может привести к эскалации локальных привилегий.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Rooms для конференц-залов для Windows до версии 5.3.0
  • Zoom Rooms для конференц-залов до версии 5.1.0

Источник: По данным группы тестирования внешних угроз компании Lockheed Martin

ZSB-21004 09/30/2021 Повышенные права на запись в установщике MSI Zoom с помощью функции соединения Критический CVE-2021-34408

Уровень серьезности: Критический

Оценка по CVSS: 7.0

Векторная последовательность CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Описание: Каталог с правами на запись для пользователя, созданный в процессе установки Zoom Client for Meetings для Windows до версии 5.3.2, можно перенаправить в другое расположение с помощью функции соединения. Так злоумышленник может перезаписать файлы, которые в противном случае пользователь с ограниченными правами не смог бы изменить.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings для Windows до версии 5.3.2

Источник: По данным группы тестирования внешних угроз компании Lockheed Martin

ZSB-21003 09/30/2021 Обход цифровой подписи программы установки Zoom в Windows Критический CVE-2021-33907

Уровень серьезности: Критический

Оценка по CVSS: 7.0

Векторная последовательность CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H/MPR:N/MUI:R/MS:U/MC:H/MI:H/MA:H

Описание: В Zoom Client for Meetings для Windows во всех версиях до 5.3.0 не удается надлежащим образом проверить информацию о сертификате, использованном для подписи файлов .msi при обновлении клиента. Это могло привести к удаленному выполнению кода в среде с повышенными привилегиями.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Все версии Zoom Client for Meetings для Windows до версии 5.3.0

Источник: По данным группы тестирования внешних угроз компании Lockheed Martin

ZSB-21002 08/13/2021 Переполнение кучи из статического буфера привело к отключению записи из сообщения XMPP (расширяемый протокол обмена сообщениями и информацией о присутствии) Критический CVE-2021-30480

Уровень серьезности: Критический

Оценка по CVSS: 8.1

Векторная последовательность CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H

Описание: Переполнение буфера на основе кучи существует во всех версиях Zoom Client for Meetings для рабочего стола, предшествующих версии 5.6.3. Сведения об этом наблюдении были представлены в Zoom в рамках Pwn20wn 2021 в Ванкувере. Подавление цепочки атак, продемонстрированной во время Pwn20wn, было реализовано в изменении на стороне сервера в инфраструктуре Zoom 09.04.2021.

При объединении с двумя другими проблемами, о которых сообщалось во время Pwn20wn (ненадлежащая проверка URL при отправке сообщения XMPP (расширяемый протокол обмена сообщениями и информацией о присутствии) для доступа к URL приложения Zoom Marketplace и неверная проверка URL при отображении изображения GIPHY) злоумышленник может добиться удаленного выполнения кода на целевом компьютере.
Для успешного выполнения этой атаки целевой объект должен предварительно принять запрос соединения от злоумышленника или участвовать в чате с несколькими пользователями, в числе которых присутствует злоумышленник. Цепочка атак, продемонстрированная во время Pwn20wn, была достаточно очевидной для целевых объектов, поэтому об этой проблеме уведомили несколько клиентов.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Все версии Zoom Client for Meetings для рабочего стола, предшествующие версии 5.6.3.

Источник: Сведения предоставили Даан Кеупер (Daan Keuper) и Тийс Алькемад (Thijs Alkemade) из компании Computest во время инициативы нулевого дня.

ZSB-21001 03/26/2021 Функция демонстрации экрана для окна приложения Критический CVE-2021-28133

Уровень серьезности: Критический

Оценка по CVSS: 5.7

Векторная последовательность CVSS: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

Описание: Из-за уязвимости была нарушена работа функции демонстрации экрана в клиентах Zoom для Windows и Linux при демонстрации окон отдельного приложения. Это проявляется в том, что содержимое экранов тех приложений, для которых демонстрирующий свой экран пользователь не давал четкой команды показывать их, может на мгновение стать видимым для других участников конференции в тот момент, когда демонстрирующий свой экран пользователь сворачивает, разворачивает или закрывает другое окно.

Внедрено несколько новых мер безопасности в клиент Zoom для Windows версии 5.6, что снижает вероятность возникновения проблем у пользователей Windows. Мы продолжаем работу над внедрением дополнительных мер для решения этой проблемы на всех платформах, для которых это актуально.

Компания Zoom также исправила эту проблему для пользователей Ubuntu 1 марта 2021 года в Zoom Client для Linux версии 5.5.4. Пользователи могут применить текущие обновления или скачать новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Все версии Zoom Client для Windows
  • Версии Zoom Client для Linux до версии 5.5.4 на Ubuntu
  • Все версии клиента для Linux на других поддерживаемых дистрибутивах

Источник: Обнаружено Майклом Страмезом (Michael Stramez) и Матиасом Дигом (Matthias Deeg).

ZSB-20002 08/14/2020 Windows DLL в сервисе обмена файлами Zoom Критический CVE-2020-9767

Уровень серьезности: Критический

Оценка по CVSS: 7.8

Векторная последовательность CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Описание: Уязвимость, связанная с загрузкой Dynamic-link Library («DLL») в сервисе обмена файлами Zoom, могла позволить локальному пользователю Windows расширять полномочия пользователя NT AUTHORITY/SYSTEM.

Уязвимость обусловлена недостаточными проверками подписей динамически загруженных DLL при загрузке исполняемого модуля с подписью. Злоумышленник мог использовать эту уязвимость, введя вредоносную DLL в исполняемый модуль Zoom, и с ее помощью запустить процессы с расширенными полномочиями.

Компания Zoom решила эту проблему в версии клиента 5.0.4. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Версии установщика Zoom для Windows (ZoomInstallerFull.msi) до 5.0.4

Источник: Коннор Скотт (Connor Scott) из службы безопасности контекстной информации

ZSB-20001 05/04/2020 IT-установщик Zoom для Windows Критический CVE-2020-11443

Уровень серьезности: Критический

Оценка по CVSS: Базовый: 8.4

Векторная последовательность CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Описание: Из-за уязвимости в способе обработки установщиком Zoom для Windows соединений при удалении файлов локальный пользователь Windows мог удалять те файлы, которые обычно не удаляются пользователем.

Уязвимость обусловлена недостаточной проверкой соединений в каталоге, из которого установщик удаляет файлы и который доступен для записи данных стандартными пользователями. Злонамеренный локальный пользователь мог использовать эту уязвимость, создав в уязвимом каталоге соединение, ведущее к защищенным системным или другим файлам, на изменение которых пользователь не имеет прав. После запуска установщика Zoom для Windows с расширенными правами, как в случае его запуска через управляемое программное обеспечение развертывания, эти файлы удаляются из системы.

Компания Zoom решила эту проблему в версии клиента 4.6.10. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Версии установщика Zoom для Windows (ZoomInstallerFull.msi) до 4.6.10

Источник: Благодаря группе тестирования внешних угроз компании Lockheed Martin.

ZSB-19003 07/12/2019 Служебный процесс ZoomOpener Критический CVE-2019-13567

Уровень серьезности: Критический

Оценка по CVSS: Базовый: 7.5

Векторная последовательность CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Описание: Из-за уязвимости в Zoom desktop client для macOS злоумышленник мог загрузить вредоносное программное обеспечение на устройство жертвы.

Уязвимость обусловлена ненадлежащей проверкой ввода и загруженного программного обеспечения во вспомогательном приложении ZoomOpener. Злоумышленник, используя эту уязвимость, мог инициировать загрузку файлов устройством жертвы в интересах злоумышленника. Успешное использование этой уязвимости возможно только в том случае, если жертва ранее удалила Zoom Client.

Компания Zoom решила эту проблему в версии клиента 4.4.52595.0425. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom desktop client для macOS до версии 4.4.52595.0425 и после версии 4.1.27507.0627

Источник: Неизвестно.

ZSB-19002 07/09/2019 Настройка видео по умолчанию Критический CVE-2019-13450

Уровень серьезности: Критический

Оценка по CVSS: Базовый: 3.1

Векторная последовательность CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

Описание: Из-за уязвимости в клиентах Zoom desktop client и RingCentral для macOS дистанционный неаутентифицированный злоумышленник мог принудить пользователя присоединиться к видеозвонку с включенной видеокамерой.

Уязвимость связана с недостаточным контролем авторизации для проверки систем, которые могут обмениваться данными с локальным веб-сервером Zoom, работающим через порт 19421. Злоумышленник, используя эту уязвимость, мог создать вредоносный веб-сайт, из-за деятельности которого Zoom Client принудительно автоматически присоединяется к конференции, организованной злоумышленником.

Добавлено новое диалоговое окно предварительного просмотра видео, которое появляется для просмотра пользователем перед присоединением к конференции в версии клиента 4.4.5, опубликованной 14 июля 2019 года. Это диалоговое окно позволяет пользователю включить или выключить видео при присоединении к конференции и предполагает настройку пользователем необходимых параметров по умолчанию для видео. Компания Zoom призывает клиентов установить самую новую версию Zoom Client, доступную на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom desktop client для macOS до версии 4.4.5
  • Клиент RingCentral для macOS до версии 4.4.5

Источник: Обнаружено Джонатаном Лайтшу (Jonathan Leitschuh).

ZSB-19001 07/09/2019 Поражение, приводящее к прекращению работы: macOS Критический CVE-2019-13449

Уровень серьезности: Критический

Оценка по CVSS: Базовый: 3.1

Векторная последовательность CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Описание: Из-за уязвимости в Zoom desktop client для macOS дистанционный неаутентифицированный злоумышленник мог инициировать прекращение работы в системе жертвы.

Уязвимость связана с недостаточным контролем авторизации для проверки систем, которые могут обмениваться данными с локальным веб-сервером Zoom, работающим через порт 19421. Злоумышленник, используя эту уязвимость, мог создать вредоносный веб-сайт, из-за деятельности которого Zoom Client постоянно пытается присоединиться к конференции с недействительным идентификатором конференции. Бесконечный цикл приводит к потере работоспособности Zoom Client и может повлиять на производительность системы, на которой он работает.

Для решения этой проблемы компания Zoom 28 апреля 2019 года выпустила версию Zoom desktop client для macOS 4.4.2-hotfix. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom desktop client для macOS до версии 4.4.5
  • Клиент RingCentral для macOS до версии 4.4.5

Источник: Обнаружено Джонатаном Лайтшу (Jonathan Leitschuh).

No results found

Чтобы получать уведомления о будущих сводках по безопасности Zoom, укажите личный адрес электронной почты. (Примечание: эти уведомления не будут отправляться на псевдонимы электронной почты.)