Trust Center Security, Privacy, Blogs Additional Resources

Сводки по безопасности

Все уровни серьезности
  • Все уровни серьезности
  • Критический
  • Высокий
  • Средний
  • Низкий
Все распространенные уязвимости и риски
  • Все распространенные уязвимости и риски
  • CVE-2024-24691
  • CVE-2024-24690
  • CVE-2024-24699
  • CVE-2024-24698
  • CVE-2024-24697
  • CVE-2024-24696
  • CVE-2024-24695
  • CVE-2023-49647
  • CVE-2023-49646
  • CVE-2023-43586
  • CVE-2023-43585
  • CVE-2023-43583
  • CVE-2023-43582
  • CVE-2023-43591
  • CVE-2023-43590
  • CVE-2023-43588
  • CVE-2023-39199
  • CVE-2023-39206
  • CVE-2023-39205
  • CVE-2023-39204
  • CVE-2023-39203
  • CVE-2023-39202
  • CVE-2023-39201
  • CVE-2023-39208
  • CVE-2023-39215
  • CVE-2023-39209
  • CVE-2023-39214
  • CVE-2023-39213
  • CVE-2023-39212
  • CVE-2023-39211
  • CVE-2023-39210
  • CVE-2023-39218
  • CVE-2023-39217
  • CVE-2023-39216
  • CVE-2023-36535
  • CVE-2023-36534
  • CVE-2023-36533
  • CVE-2023-36532
  • CVE-2023-36541
  • CVE-2023-36540
  • CVE-2023-36538
  • CVE-2023-36537
  • CVE-2022-36928
  • CVE-2022-36926
    CVE-2022-36927
  • CVE-2022-36925
  • CVE-2022-36924
  • CVE-2022-28768
  • CVE-2022-28766
  • CVE-2022-28764
  • CVE-2022-28763
  • CVE-2022-28762
  • CVE-2022-28761
  • CVE-2022-28760
  • CVE-2022-28758
    CVE-2022-28759
  • CVE-2022-28757
  • CVE-2022-28756
  • CVE-2022-28751
  • CVE-2022-28753
    CVE-2022-28754
  • CVE-2022-28755
  • CVE-2022-28750
  • CVE-2022-28749
  • CVE-2022-22788
  • CVE-2022-22787
  • CVE-2022-22786
  • CVE-2022-22785
  • CVE-2022-22784
  • CVE-2022-22783
  • CVE-2022-22782
  • CVE-2022-22781
  • CVE-2022-22780
  • CVE-2022-22779
  • CVE-2021-34426
  • CVE-2021-34425
  • CVE-2021-34424
  • CVE-2021-34423
  • CVE-2021-34422
  • CVE-2021-34421
  • CVE-2021-34420
  • CVE-2021-34419
  • CVE-2021-34418
  • CVE-2021-34417
  • CVE-2021-34416
  • CVE-2021-34415
  • CVE-2021-34414
  • CVE-2021-34413
  • CVE-2021-34412
  • CVE-2021-34411
  • CVE-2021-34408
  • CVE-2021-33907
  • CVE-2021-30480
  • CVE-2021-28133
  • CVE-2020-9767
  • CVE-2020-11443
  • CVE-2019-13567
  • CVE-2019-13450
  • CVE-2019-13449
Поиск

Сводки по безопасности

Zoom не консультирует отдельных клиентов по поводу влияния уязвимостей, поскольку оно описано в сводке по безопасности Zoom, а также не предоставляет дополнительных сведений об уязвимости. Мы рекомендуем пользователям обновлять программное обеспечение Zoom до последней версии, чтобы получать последние исправления и улучшения безопасности.

ZSB Дата Название Уровень серьезности Распространенные уязвимости и риски (если применимо)
ZSB-24008 02/13/2024 Клиент Zoom для ПК для Windows, клиент Zoom VDI для Windows и Zoom Meeting SDK для Windows: ненадлежащая проверка входных данных Критический CVE-2024-24691

Уровень серьезности: Критический

Оценка по CVSS: 9.6

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Описание: Из-за ненадлежащей проверки входных данных в клиенте Zoom для ПК для Windows, клиенте Zoom VDI для Windows и Zoom Meeting SDK для Windows неаутентифицированные пользователи могут осуществить эскалацию привилегий с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя последние обновления, доступные на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.15.5
  • Клиент Zoom для ПК для macOS только версии 5.15.0
  • Клиент Zoom для ПК для Linux только версии 5.15.0.
  • Мобильное приложение Zoom для iOS только версии 5.15.0.

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-24007 02/13/2024 Клиенты Zoom: ненадлежащая проверка входных данных Средний CVE-2024-24690

Уровень серьезности: Средний

Оценка по CVSS: 5.4

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

Описание: Из-за ненадлежащей проверки входных данных в некоторых клиентах Zoom аутентифицированные пользователи могут осуществить атаку типа «отказ в обслуживании» с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя последние обновления, доступные на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Пакет средств для разработки ПО клиента Zoom для Windows до версии 5.15.5
  • Пакет средств для разработки ПО клиента Zoom для iOS до версии 5.15.5
  • Пакет средств для разработки ПО клиента Zoom для Android до версии 5.15.5
  • Пакет средств для разработки ПО клиента Zoom для macOS до версии 5.15.5
  • Пакет средств для разработки ПО клиента Zoom для Linux до версии 5.15.5

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-24006 02/13/2024 Клиенты Zoom: ошибка бизнес-логики Средний CVE-2024-24699

Уровень серьезности: Средний

Оценка по CVSS: 6,5

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Описание: Из-за ошибки бизнес-логики в чате в конференции в некоторых клиентах Zoom аутентифицированные пользователи могут раскрыть информацию с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя последние обновления, доступные на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.15.2
  • Клиент Zoom VDI до версии 5.15.2
  • Zoom Rooms для конференц-залов для Windows (32-разрядной) до версии 5.12.6
  • Zoom Client for Meetings для Chrome OS до версии 5.0.1
  • Zoom Rooms для конференц-залов (Android, AndroidBali, macOS и Windows) до версии 5.8.3
  • Контроллеры для Zoom Rooms (Android, iOS и Windows) до версии 5.8.3
  • Zoom Meeting Client для VDI Windows до версии 5.8.4
  • Плагины виртуального рабочего стола Azure VDI для Zoom (Windows x86 и x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) до версии 5.8.4.21112

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-24005 02/13/2024 Клиенты Zoom: ненадлежащая аутентификация Средний CVE-2024-24698

Уровень серьезности: Средний

Оценка по CVSS: 4.9

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

Описание: Из-за ненадлежащей аутентификации в некоторых клиентах Zoom привилегированные пользователи могут раскрыть информацию с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя последние обновления, доступные на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Rooms для Windows до версии 5.15.5
  • Zoom Client for Meetings для VDI Windows до версии 5.12.6
  • Zoom Rooms для конференц-залов (Android, iOS, Linux, macOS и Windows) до версии 5.12.6
  • Все версии Zoom Client for Meetings для macOS до версии 5.7.3
  • Все версии Zoom Client for Meetings для Windows до версии 5.6.3
  • Контроллеры для Zoom Rooms (Android, iOS и Windows) до версии 5.8.3
  • Zoom Meeting Client для VDI Windows до версии 5.8.4
  • Плагины виртуального рабочего стола Azure VDI для Zoom (Windows x86 и x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) до версии 5.8.4.21112

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-24004 02/13/2024 Клиенты Zoom: ненадежный путь поиска Высокий CVE-2024-24697

Уровень серьезности: Высокий

Оценка по CVSS: 7.2

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H

Описание: Из-за ненадежного пути поиска в клиентах Zoom для 32-битной системы Windows аутентифицированные пользователи могут осуществить эскалацию привилегий с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя последние обновления, доступные на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.17.0
  • Zoom Rooms для Windows до версии 5.15.5
  • Клиенты Zoom VDI Meeting для Windows до версии 5.14.0
  • Zoom Client for Meetings для Chrome OS до версии 5.0.1

Источник: По данным sim0nsecurity.

ZSB-24003 02/13/2024 Клиент Zoom для ПК для Windows, клиент Zoom VDI для Windows и Zoom Meeting SDK для Windows: ненадлежащая проверка входных данных Средний CVE-2024-24696

Уровень серьезности: Средний

Оценка по CVSS: 6.8

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N

Описание: Из-за ненадлежащей проверки входных данных в чате в конференции в клиенте Zoom для ПК для Windows, клиенте Zoom VDI для Windows и Zoom Meeting SDK для Windows аутентифицированные пользователи могут раскрыть информацию с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя последние обновления, доступные на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Пакет средств для разработки ПО клиента Zoom для Windows до версии 5.15.0
  • Клиент Zoom Rooms для Windows до версии 5.14.0
  • Клиенты Zoom VDI Meeting для Windows до версии 5.14.0

Источник: По данным shmoul.

ZSB-24002 02/13/2024 Клиент Zoom для ПК для Windows, клиент Zoom VDI для Windows и Zoom Meeting SDK для Windows: ненадлежащая проверка входных данных Средний CVE-2024-24695

Уровень серьезности: Средний

Оценка по CVSS: 6.8

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N

Описание: Из-за ненадлежащей проверки входных данных в клиенте Zoom для ПК для Windows, клиенте Zoom VDI для Windows и Zoom Meeting SDK для Windows аутентифицированные пользователи могут раскрыть информацию с помощью сетевого доступа.


Пользователи могут позаботиться о своей безопасности, применяя последние обновления, доступные на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.17.0
  • Клиент Zoom для ПК для macOS до версии 5.14.10
  • Клиент Zoom для ПК для Linux до версии 5.14.10

Источник: По данным shmoul.

ZSB-24001 01/09/2024 Клиент Zoom для ПК для Windows, клиент Zoom VDI для Windows и Zoom SDKs для Windows: ненадлежащий контроль доступа Критический CVE-2023-49647

Уровень серьезности: Критический

Оценка по CVSS: 8.8

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Описание: Из-за ненадлежащего контроля доступа в клиенте Zoom для ПК для Windows, клиенте Zoom VDI для Windows и Zoom SDKs для Windows до версии 5.16.10 аутентифицированные пользователи могут осуществить эскалацию привилегий с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.16.10
  • Пакет средств для разработки ПО клиента Zoom для iOS до версии 5.14.10
  • Пакет средств для разработки ПО клиента Zoom для Android до версии 5.14.10
  • Пакет средств для разработки ПО клиента Zoom для macOS до версии 5.14.10

Источник: По данным sim0nsecurity.

ZSB-23062 12/12/2023 Клиенты Zoom: ненадлежащая аутентификация Критический CVE-2023-49646

Уровень серьезности: Критический

Оценка по CVSS: 5.4

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

Описание: Из-за ненадлежащей аутентификации в некоторых клиентах Zoom до версии 5.16.5 аутентифицированные пользователи могут осуществить атаку типа «отказ в обслуживании» с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.16.5
  • Zoom Client for Meetings для VDI Windows до версии 5.10.7
  • Zoom Client for Meetings для Intune (Android и iOS) до версии 5.8.4
  • Zoom Client for Meetings для Chrome OS до версии 5.0.1
  • Zoom Rooms для конференц-залов (Android, AndroidBali, macOS и Windows) до версии 5.8.3
  • Контроллеры для Zoom Rooms (Android, iOS и Windows) до версии 5.8.3
  • Zoom Meeting Client для VDI Windows до версии 5.8.4

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23059 12/12/2023 Клиент Zoom для ПК для Windows, клиент Zoom VDI для Windows и Zoom SDKs для Windows: выход за пределы назначенного каталога Критический CVE-2023-43586

Уровень серьезности: Критический

Оценка по CVSS: 7.3

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N

Описание: Из-за выхода за пределы назначенного каталога в клиенте Zoom для ПК для Windows, клиенте Zoom VDI для Windows и Zoom SDKs для Windows аутентифицированные пользователи могут осуществить эскалацию привилегий с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.16.5
  • Клиент Zoom для ПК для macOS до версии 5.14.10
  • Клиент Zoom для ПК для Linux до версии 5.14.10
  • Плагин и хост Zoom VDI до версии 5.14.10

Источник: По данным shmoul.

ZSB-23058 12/12/2023 Мобильное приложение Zoom для iOS и пакеты SDK для iOS: ненадлежащий контроль доступа Критический CVE-2023-43585

Уровень серьезности: Критический

Оценка по CVSS: 7,1

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L

Описание: Из-за ненадлежащего контроля доступа в мобильном приложении Zoom для iOS и Zoom SDKs для iOS до версии 5.16.5 аутентифицированные пользователи могут раскрыть информацию с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Мобильное приложение Zoom для iOS до версии 5.16.5
  • Zoom Rooms для конференц-залов для macOS до версии 5.11.6
  • Локальный коннектор записи Zoom до версии 3.8.42.20200905
  • Локальный коннектор виртуальных залов Zoom до версии 4.4.6344.20200612

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23056 12/12/2023 Мобильное приложение Zoom для Android, мобильное приложение Zoom для iOS и Zoom SDKs: криптографические проблемы Критический CVE-2023-43583

Уровень серьезности: Критический

Оценка по CVSS: 4.9

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

Описание: Из-за криптографических проблем в мобильном приложении Zoom для Android, мобильном приложении Zoom для iOS и Zoom SDKs для Android и iOS до версии 5.16.0 привилегированные пользователи могут раскрыть информацию с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Мобильное приложение Zoom для Android до версии 5.16.0
  • Пакет средств для разработки ПО клиента Zoom для iOS до версии 5.14.7
  • Пакет средств для разработки ПО клиента Zoom для Android до версии 5.14.7
  • Пакет средств для разработки ПО клиента Zoom для macOS до версии 5.14.7
  • Пакет средств для разработки ПО клиента Zoom для Linux до версии 5.14.7
  • Контроллеры для Zoom Rooms (Android, iOS и Windows) до версии 5.8.3

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23055 11/14/2023 Клиенты Zoom: ненадлежащая авторизация Критический CVE-2023-43582

Уровень серьезности: Критический

Оценка по CVSS: 5.5

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L

Описание: Из-за ненадлежащей авторизации в некоторых клиентах Zoom авторизованные пользователи могут осуществить эскалацию привилегий с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.16.0
  • Клиент Zoom для ПК для macOS до версии 5.14.5
  • Клиент Zoom для ПК для Linux до версии 5.14.5
  • Плагин и хост Zoom VDI до версии 5.14.5
  • Мобильное приложение Zoom для Android до версии 5.14.5
  • Мобильное приложение Zoom для iOS до версии 5.14.5
  • Zoom Rooms для iPad до версии 5.14.5
  • Zoom Rooms для Android до версии 5.14.5
  • Zoom Rooms для Windows до версии 5.14.5
  • Zoom Rooms для macOS до версии 5.14.5
  • Пакет средств для разработки ПО Zoom Meeting для Android до версии 5.7.6.1922
  • Пакет средств для разработки ПО Zoom Meeting для iOS до версии 5.7.6.1082
  • Пакет средств для разработки ПО Zoom Meeting для macOS до версии 5.7.6.1340
  • Пакет средств для разработки ПО Zoom Meeting для Windows до версии 5.7.6.1081
  • Пакет средств для разработки ПО для видеосвязи Zoom (Android, iOS, macOS и Windows) до версии 1.1.2

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23054 11/14/2023 Zoom Rooms для macOS: ненадлежащее управление привилегиями Критический CVE-2023-43591

Уровень серьезности: Критический

Оценка по CVSS: 7.8

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

Описание: Из-за ненадлежащего управления привилегиями в Zoom Rooms для macOS до версии 5.16.0 аутентифицированные пользователи могут осуществить эскалацию привилегий с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Rooms для macOS до версии 5.16.0

Источник: По данным Юджина Лима (Eugene Lim, spaceraccoon).

ZSB-23053 11/14/2023 Zoom Rooms для macOS: переход по ссылке Критический CVE-2023-43590

Уровень серьезности: Критический

Оценка по CVSS: 7.8

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

Описание: Благодаря возможности перехода по ссылке в Zoom Rooms для Windows до версии 5.16.0 аутентифицированные пользователи могут осуществить эскалацию привилегий с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Rooms для macOS до версии 5.16.0

Источник: По данным Юджина Лима (Eugene Lim, spaceraccoon).

ZSB-23052 11/14/2023 Клиенты Zoom: недостаточное управление потоком команд управления Критический CVE-2023-43588

Уровень серьезности: Критический

Оценка по CVSS: 3.5

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N

Описание: Из-за недостаточного управления потоком команд управления в некоторых клиентах Zoom аутентифицированные пользователи могут раскрыть информацию с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.16.0
  • MMR локального коннектора конференций Zoom версии 4.8.102.20220310
  • Локальный коннектор записи Zoom до версии 3.8.44.20210326
  • Локальный коннектор виртуальных залов Zoom до версии 4.4.6752.20210326
  • Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5495.20210326

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23051 11/14/2023 Клиенты Zoom: криптографические проблемы Критический CVE-2023-39199

Уровень серьезности: Критический

Оценка по CVSS: 4.9

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

Описание: Из-за криптографических проблем в чате в конференции в некоторых клиентах Zoom привилегированные пользователи могут раскрыть информацию с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.16.0
  • Клиенты Zoom Rooms для Windows до версии 5.13.3.
  • Клиенты Zoom VDI для Windows до версии 5.13.1.
  • Все версии Zoom Meeting Client для VDI для Windows до версии 5.9.6

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23050 11/14/2023 Клиенты Zoom: переполнение буфера Критический CVE-2023-39206

Уровень серьезности: Критический

Оценка по CVSS: 3.7

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L

Описание: Из-за переполнения буфера в некоторых клиентах Zoom неаутентифицированные пользователи могут осуществить атаку типа «отказ в обслуживании» с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.16.0
  • Клиенты Zoom Rooms для Windows до версии 5.13.3.
  • Клиенты Zoom VDI для Windows до версии 5.13.1.
  • Локальный коннектор виртуальных залов Zoom до версии 4.4.6344.20200612
  • Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5492.20200616

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23049 11/14/2023 Клиенты Zoom: ненадлежащая проверка условий Критический CVE-2023-39205

Уровень серьезности: Критический

Оценка по CVSS: 4.3

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Описание: Из-за ненадлежащей проверки условий в Zoom Team Chat в клиентах Zoom аутентифицированные пользователи могут осуществить атаку типа «отказ в обслуживании» с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.16.0
  • Все версии Zoom Rooms для конференц-залов для Windows до версии 5.10.0
  • Все версии плагинов Zoom для Microsoft Outlook для Windows до версии 5.10.3
  • Все версии Zoom Meeting Client для VDI для Windows до версии 5.9.6
  • Все версии Zoom Client for Meetings для Windows до версии 5.6.3

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23048 11/14/2023 Клиенты Zoom: переполнение буфера Критический CVE-2023-39204

Уровень серьезности: Критический

Оценка по CVSS: 4.3

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L

Описание: Из-за переполнения буфера в некоторых клиентах Zoom неаутентифицированные пользователи могут осуществить атаку типа «отказ в обслуживании» с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.15.10
  • Все Zoom Rooms для конференц-залов для Windows до версии 5.10.0
  • Локальный коннектор записи Zoom до версии 3.8.42.20200905
  • Локальный коннектор виртуальных залов Zoom до версии 4.4.6344.20200612
  • Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5492.20200616

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23047 11/14/2023 Клиент Zoom для ПК для Windows и клиент Zoom VDI: неконтролируемое потребление ресурсов Критический CVE-2023-39203

Уровень серьезности: Критический

Оценка по CVSS: 4.3

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L

Описание: Из-за неконтролируемого потребления ресурсов в Zoom Team Chat в клиенте Zoom для ПК для Windows и клиенте Zoom VDI неаутентифицированные пользователи могут раскрыть информацию с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.16.0
  • Клиенты Zoom Rooms (для Linux, macOS и Windows) до версии 5.13.5

Источник: По данным shmoul.

ZSB-23046 11/14/2023 Клиент Zoom Rooms для Windows и клиент Zoom VDI: ненадежный путь поиска Критический CVE-2023-39202

Уровень серьезности: Критический

Оценка по CVSS: 3.1

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:L

Описание: Из-за ненадежного пути поиска в клиенте Zoom Rooms для Windows и клиенте Zoom VDI привилегированные пользователи могут осуществить атаку типа «отказ в обслуживании» с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom Rooms для Windows до версии 5.16.0
  • MMR локального коннектора конференций Zoom до версии 4.6.360.20210325

Источник: По данным sim0nsecurity.

ZSB-23045 09/12/2023 CleanZoom: ненадежный путь поиска Критический CVE-2023-39201

Уровень серьезности: Критический

Оценка по CVSS: 7.2

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H

Описание: Из-за ненадежного пути поиска в файле CleanZoom до 24.07.2023 г. привилегированные пользователи могут осуществить эскалацию привилегий с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Версия файла CleanZoom до 24.07.2023 г.

Источник: По данным sim0nsecurity.

ZSB-23043 09/12/2023 Клиент Zoom для ПК для Linux: ненадлежащая проверка входных данных Критический CVE-2023-39208

Уровень серьезности: Критический

Оценка по CVSS: 6,5

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L

Описание: Из-за ненадлежащей проверки входных данных в клиенте Zoom для ПК для Linux до версии 5.15.10 неаутентифицированные пользователи могут осуществить атаку типа «отказ в обслуживании» с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Linux до версии 5.15.10

Источник: По данным Антуана Роли (Antoine Roly, aroly).

ZSB-23040 09/12/2023 Клиенты Zoom: ненадлежащая аутентификация Критический CVE-2023-39215

Уровень серьезности: Критический

Оценка по CVSS: 7,1

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:H

Описание: Из-за ненадлежащей аутентификации в клиентах Zoom аутентифицированные пользователи могут осуществить атаку типа «отказ в обслуживании» с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.15.5
  • Zoom for macOS до версии 5.14.10
  • Клиенты Zoom VDI для Windows до версии 5.13.1.
  • Zoom Client for Meetings для Chrome OS до версии 5.0.1
  • Zoom Rooms для конференц-залов (Android, AndroidBali, macOS и Windows) до версии 5.8.3
  • Контроллеры для Zoom Rooms (Android, iOS и Windows) до версии 5.8.3
  • Zoom Meeting Client для VDI Windows до версии 5.8.4
  • Плагины виртуального рабочего стола Azure VDI для Zoom (Windows x86 и x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) до версии 5.8.4.21112

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23041 08/08/2023 Клиент Zoom для ПК для Windows: ненадлежащая проверка входных данных Критический CVE-2023-39209

Уровень серьезности: Критический

Оценка по CVSS: 5,9

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Описание: Из-за ненадлежащей проверки входных данных в клиенте Zoom для ПК для Windows до версии 5.15.5 авторизованные пользователи могут разрешить раскрытие информации с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.15.5

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23039 08/08/2023 Клиенты Zoom: риск раскрытия конфиденциальной информации Критический CVE-2023-39214

Уровень серьезности: Критический

Оценка по CVSS: 7.6

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H

Описание: Из-за риска раскрытия конфиденциальной информации в клиентах Zoom до версии 5.15.5 авторизованные пользователи могут обеспечить условия для атаки типа «отказ в обслуживании» с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.15.5
  • Zoom Client for Meetings для VDI Windows до версии 5.12.6
  • Zoom Rooms для конференц-залов (Android, iOS, Linux, macOS и Windows) до версии 5.12.6

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23038 08/08/2023 Клиент Zoom для ПК для Windows и клиент Zoom VDI: ненадлежащая нейтрализация специальных элементов Критический CVE-2023-39213

Уровень серьезности: Критический

Оценка по CVSS: 9.6

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Описание: Из-за ненадлежащей нейтрализации специальных элементов в клиенте Zoom для ПК для Windows и в клиенте Zoom VDI неаутентифицированные пользователи могут обеспечить условия для эскалации привилегий с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.15.2
  • Клиент Zoom Rooms для Windows до версии 5.14.0
  • Клиенты Zoom VDI Meeting для Windows до версии 5.14.0

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23037 08/08/2023 Zoom Rooms для Windows: недостоверный путь поиска Критический CVE-2023-39212

Уровень серьезности: Критический

Оценка по CVSS: 7.9

Векторная последовательность CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

Описание: Из-за недостоверного пути поиска в Zoom Rooms для Windows до версии 5.15.5 авторизованные пользователи могут разрешить прекращение работы с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Rooms для Windows до версии 5.15.5

Источник: По данным sim0nsecurity.

ZSB-23036 08/08/2023 Клиент Zoom для ПК для Windows и Zoom Rooms для Windows: ненадлежащее управление привилегиями Критический CVE-2023-39211

Уровень серьезности: Критический

Оценка по CVSS: 8.8

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Описание: Из-за ненадлежащего управления привилегиями в клиенте Zoom для ПК для Windows и в Zoom Rooms для Windows до версии 5.15.5 авторизованные пользователи могут разрешить раскрытие информации с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom для ПК для Windows до версии 5.15.5
  • Все Zoom Rooms для конференц-залов для Windows до версии 5.10.0

Источник: По данным sim0nsecurity.

ZSB-23035 08/08/2023 Пакет средств для разработки ПО клиента Zoom для Windows: очистка текста хранилища от конфиденциальной информации Критический CVE-2023-39210

Уровень серьезности: Критический

Оценка по CVSS: 5.5

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Описание: Из-за очистки текста хранилища от конфиденциальной информации в пакете средств для разработки ПО клиента Zoom для Windows до версии 5.15.0 авторизованные пользователи могут разрешить раскрытие информации с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Пакет средств для разработки ПО клиента Zoom для Windows до версии 5.15.0

Источник: По данным sim0nsecurity.

ZSB-23034 08/08/2023 Клиенты Zoom: обеспечение со стороны клиента безопасности на стороне сервера Критический CVE-2023-39218

Уровень серьезности: Критический

Оценка по CVSS: 6,5

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

Описание: Из-за обеспечения со стороны клиента безопасности на стороне сервера в клиентах Zoom до версии 5.14.10 привилегированные пользователи могут разрешить раскрытие информации с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.14.10
  • MMR локального коннектора конференций Zoom до версии 4.6.365.20210703
  • Локальный коннектор записи Zoom до версии 3.8.45.20210703
  • Локальный коннектор виртуальных залов Zoom до версии 4.4.6868.20210703
  • Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5496.20210703

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23033 08/08/2023 Клиенты Zoom: ненадлежащая проверка входных данных Критический CVE-2023-39217

Уровень серьезности: Критический

Оценка по CVSS: 5.3

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Описание: Из-за ненадлежащей проверки входных данных в клиентах Zoom до версии 5.14.10 неаутентифицированные пользователи могут обеспечить условия для атаки типа «отказ в обслуживании» с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.14.10
  • Клиент Zoom VDI Meeting для Windows (32-разрядной системы Windows) до версии 5.12.6
  • Zoom Rooms для конференц-залов для Windows (32-разрядной) до версии 5.12.6
  • Локальный коннектор виртуальных залов Zoom до версии 4.4.6752.20210326
  • Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5495.20210326
  • Клиенты для Chrome до версии 3.3.1635.1130
  • Клиенты Zoom Room для Windows до версии 4.1.6 (35121.1201)
  • Клиенты Zoom Room для Mac до версии 4.1.7 (35123.1201)
  • Клиенты Zoom Room для Chrome до версии 3.6.2895.1130
  • Пакет средств для разработки ПО Zoom для Windows до версии 4.1.30384.1029

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23032 08/08/2023 Клиент Zoom для ПК для Windows: ненадлежащая проверка входных данных Критический CVE-2023-39216

Уровень серьезности: Критический

Оценка по CVSS: 9.6

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Описание: Из-за ненадлежащей проверки входных данных в клиенте Zoom для ПК для Windows до версии 5.14.7 неавторизованные пользователи могут разрешить эскалацию привилегии с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.14.7

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23031 08/08/2023 Клиенты Zoom: обеспечение со стороны клиента безопасности на стороне сервера Критический CVE-2023-36535

Уровень серьезности: Критический

Оценка по CVSS: 7,1

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L

Описание: Из-за обеспечения со стороны клиента безопасности на стороне сервера в клиентах Zoom до версии 5.14.10 авторизованные пользователи могут разрешить раскрытие информации с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиенты Zoom для Windows до версии 5.14.10
  • Zoom Client for Meetings для VDI Windows до версии 5.12.2
  • Zoom Rooms для конференц-залов (Android, iOS, Linux, macOS и Windows) до версии 5.12.2
  • Локальный коннектор виртуальных залов Zoom до версии 4.4.6620.20201110
  • Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5495.20210326

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23030 08/08/2023 Клиент Zoom для ПК для Windows: обход пути Критический CVE-2023-36534

Уровень серьезности: Критический

Оценка по CVSS: 9.3

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H

Описание: Из-за обхода пути в клиенте Zoom для ПК для Windows до версии 5.14.7 неавторизованные пользователи могут разрешить эскалацию привилегии с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.14.7

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23029 08/08/2023 Пакет средств для разработки ПО Zoom: неконтролируемое потребление ресурсов Критический CVE-2023-36533

Уровень серьезности: Критический

Оценка по CVSS: 7,1

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H

Описание: Из-за неконтролируемого потребления ресурсов в пакете средств для разработки ПО Zoom до версии 5.14.7 неавторизованные пользователи могут разрешить прекращение работы с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Пакет средств для разработки ПО клиента Zoom для Windows до версии 5.14.7
  • Zoom Client for Meetings для VDI Windows до версии 5.10.7
  • Zoom Rooms для конференц-залов (Android, iOS, Linux, macOS и Windows) до версии 5.11.0
  • Локальный коннектор виртуальных залов Zoom до версии 4.4.6868.20210703
  • Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5496.20210703

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23028 08/08/2023 Клиенты Zoom: переполнение буфера Критический CVE-2023-36532

Уровень серьезности: Критический

Оценка по CVSS: 5,9

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Описание: Из-за переполнения буфера в клиентах Zoom до версии 5.14.5 неавторизованные пользователи могут разрешить прекращение работы с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.14.5
  • MMR локального коннектора конференций Zoom до версии 4.6.360.20210325
  • Локальный коннектор записи Zoom до версии 3.8.44.20210326
  • Локальный коннектор виртуальных залов Zoom до версии 4.4.6752.20210326
  • Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5495.20210326

Источник: По данным отдела наступательной безопасности Zoom.

ZSB-23027 08/08/2023 Клиент Zoom для ПК для Windows: недостаточная проверка подлинности данных Критический CVE-2023-36541

Уровень серьезности: Критический

Оценка по CVSS: 8

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Описание: Из-за недостаточной проверки подлинности данных в клиентах Zoom для ПК для Windows до версии 5.14.5 авторизированные пользователи могут разрешить эскалацию привилегии с помощью сетевого доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.14.5

Источник: По данным sim0nsecurity.

ZSB-23026 08/08/2023 Клиент Zoom для ПК для Windows: недостоверный путь поиска Критический CVE-2023-36540

Уровень серьезности: Критический

Оценка по CVSS: 7.3

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Описание: Из-за недостоверного пути поиска в клиенте Zoom для ПК для Windows до версии 5.14.5 авторизованные пользователи могут разрешить эскалацию привилегии с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиент Zoom для ПК для Windows до версии 5.14.5

Источник: По данным sim0nsecurity.

ZSB-23024 07/11/2023 Ненадлежащий контроль доступа Критический CVE-2023-36538

Уровень серьезности: Критический

Оценка по CVSS: 8.4

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Описание: Из-за ненадлежащего контроля доступа в Zoom Rooms для Windows до версии 5.15.0 аутентифицированные пользователи могут разрешить эскалацию привилегии с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Rooms для Windows до версии 5.15.0

Источник: По данным sim0nsecurity.

ZSB-23023 07/11/2023 Ненадлежащее управление привилегиями Критический CVE-2023-36537

Уровень серьезности: Критический

Оценка по CVSS: 7.3

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Описание: Из-за ненадлежащего управления привилегиями в Zoom Rooms для Windows до версии 5.14.5 аутентифицированные пользователи могут разрешить эскалацию привилегии с помощью локального доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиенты Zoom Rooms для Windows до версии 5.12.7.

Источник: По данным sim0nsecurity

ZSB-22033 01/06/2023 Выход за пределы назначенного каталога в клиентах Zoom for Android Критический CVE-2022-36928

Уровень серьезности: Критический

Оценка по CVSS: 6.1

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N

Описание: Клиенты Zoom for Android до версии 5.13.0 содержат уязвимость, связанную с выходом за пределы назначенного каталога. Сторонние приложения могут использовать эту уязвимость для осуществления операций чтения и записи в каталоге данных приложения Zoom.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиенты Zoom for Android до версии 5.13.0.

Источник: По данным Димитриоса Вальсамараса (Dimitrios Valsamaras) из Microsoft

ZSB-22032 01/06/2023 Повышение локальных привилегий в клиентах Zoom Rooms для macOS Критический CVE-2022-36926
CVE-2022-36927

Уровень серьезности: Критический

Оценка по CVSS: 8.8

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Описание: Клиенты Zoom Rooms для macOS до версии 5.11.3 содержат уязвимость, связанную с повышением локальных привилегий. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью для эскалации своих привилегий до уровня root.
Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Клиенты Zoom Rooms для macOS до версии 5.11.3.

Источник: По данным Кирин (Kirin, Pwnrin)

ZSB-22031 01/06/2023 Небезопасное создание ключей для клиентов Zoom Rooms для macOS Критический CVE-2022-36925

Уровень серьезности: Критический

Оценка по CVSS: 4.4

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

Описание: Клиенты Zoom Rooms для macOS до версии 5.11.4 содержат небезопасный механизм создания ключей. Ключ шифрования, используемый для IPC между службой управляющей программы Zoom Rooms и клиентом Zoom Rooms, создавался с помощью параметров, которые может получить локальное приложение с минимальными привилегиями. Затем этот ключ может использоваться для взаимодействия со службой управляющей программы в целях выполнения привилегированных функций и привести к локальному отказу в обслуживании.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Rooms для macOS до версии 5.11.4.

Источник: По данным Кирин (Kirin, Pwnrin)

ZSB-22030 11/15/2022 Повышение локальных привилегий в инструменте установки Zoom Rooms для Windows Критический CVE-2022-36924

Уровень серьезности: Критический

Оценка по CVSS: 8.8

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Описание: Инструмент установки Zoom Rooms для Windows до версии 5.12.6 имеет уязвимость, связанную с повышением локальных привилегий. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью во время установки для повышения своих привилегий до уровня пользователя системы.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Инструмент установки Zoom Rooms для Windows до версии 5.12.6

Источник: По данным sim0nsecurity

ZSB-22029 11/15/2022 Повышение локальных привилегий в инструменте установки Zoom Client for Meetings для macOS Критический CVE-2022-28768

Уровень серьезности: Критический

Оценка по CVSS: 8.8

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Описание: Инструмент установки Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов) до версии 5.12.6 имеет уязвимость, связанную с повышением локальных привилегий. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью во время установки для повышения своих привилегий до уровня привилегированного пользователя.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Инструмент установки Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов) до версии 5.12.6

Источник: По данным Коха М. Накагавы (Koh M. Nakagawa) (tsunekoh)

ZSB-22027 11/15/2022 DLL-инъекция в клиенты Zoom для Windows Критический CVE-2022-28766

Уровень серьезности: Критический

Оценка по CVSS: 8.1

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L

Описание: Zoom Client for Meetings для 32-разрядной системы Windows до версии 5.12.6 и Zoom Rooms для конференц-залов до версии 5.12.6 подвержены уязвимости, связанной с DLL-инъекцией. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью для запуска произвольного кода в контексте клиента Zoom для ПК.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings для Windows (32-разрядной) до версии 5.12.6
  • Клиент Zoom VDI Meeting для Windows (32-разрядной системы Windows) до версии 5.12.6
  • Zoom Rooms для конференц-залов для Windows (32-разрядной) до версии 5.12.6

Источник: По данным sim0nsecurity

ZSB-22025 11/10/2022 Локальное раскрытие информации в клиентах Zoom Критический CVE-2022-28764

Уровень серьезности: Критический

Оценка по CVSS: 3.3

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Описание: Решения Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.12.6 подвержены уязвимости, связанной с локальным раскрытием информации.

В результате сбоя при очистке данных в локальной базе данных SQL после завершения конференции и использования для этой базы данных недостаточно безопасных методов шифрования ключа для каждого устройства злоумышленник, являющийся локальным пользователем, может получить данные конференции, например сообщения чата в предыдущей конференции, к которой подключались с помощью учетной записи этого локального пользователя.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.12.6
  • Zoom Client for Meetings для VDI Windows до версии 5.12.6
  • Zoom Rooms для конференц-залов (Android, iOS, Linux, macOS и Windows) до версии 5.12.6

Источник: По данным Кристиана Цеске (Christian Zäske) из SySS GmbH

ZSB-22024 10/24/2022 Ненадлежащий анализ URL в Zoom desktop client или Zoom mobile app Критический CVE-2022-28763

Уровень серьезности: Критический

Оценка по CVSS: 8.8

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Описание: Решения Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.12.2 подвержены уязвимости, связанной с анализом URL. Перейдя по вредоносному URL на конференцию Zoom, пользователь может подключиться к произвольному сетевому адресу, что приведет к дополнительным атакам, в том числе перехватам сеансов.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.12.2
  • Zoom Client for Meetings для VDI Windows до версии 5.12.2
  • Zoom Rooms для конференц-залов (Android, iOS, Linux, macOS и Windows) до версии 5.12.2

Источник: По данным отдела безопасности Zoom

ZSB-22023 10/11/2022 Неправильная настройка порта отладки в Zoom Apps в Zoom Client for Meetings для macOS Критический CVE-2022-28762

Уровень серьезности: Критический

Оценка по CVSS: 7.3

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

Описание: Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов), начиная с версии 5.10.6 и до версии 5.12.0, имеет неправильную настройку порта отладки. Если при запуске определенных Zoom Apps в слоях API Zoom Apps включено отображение контекста в режиме камеры, Zoom desktop client открывает локальный порт отладки. Локальный злоумышленник может использовать этот порт отладки для подключения к Zoom Apps, запущенным в Zoom desktop client, и управления ими.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов), начиная с версии 5.10.6 и до версии 5.12.0

Источник: По данным отдела безопасности Zoom

ZSB-22022 10/11/2022 Локальные развертывания Zoom: ненадлежащий контроль доступа Критический CVE-2022-28761

Уровень серьезности: Критический

Оценка по CVSS: 6,5

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Описание: MMR локального коннектора конференций Zoom до версии 4.8.20220916.131 имеет уязвимость, связанную с ненадлежащим контролем доступа. Вследствие этого злоумышленник, присутствующий на конференции или вебинаре, к которым ему разрешен доступ, может препятствовать тому, чтобы участники получали звук и видео, приводя таким образом к срывам конференций.

Что касается локальных развертываний Zoom, ИТ-администраторы могут поддерживать актуальное состояние своего программного обеспечения Zoom, следуя указаниям на странице https://support.zoom.us/hc/en-us/articles/360043960031

Затрагиваемые продукты:

  • MMR локального коннектора конференций Zoom до версии 4.8.20220916.131

Источник: По данным отдела наступательной безопасности Zoom

ZSB-22021 09/13/2022 Локальные развертывания Zoom: ненадлежащий контроль доступа Критический CVE-2022-28760

Уровень серьезности: Критический

Оценка по CVSS: 6,5

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Описание: MMR локального коннектора конференций Zoom до версии 4.8.20220815.130 имеет уязвимость, связанную с ненадлежащим контролем доступа. Вследствие этого злоумышленник может присоединиться к конференции, к которой ему разрешен доступ, и при этом другие участники не будут его видеть.

Что касается локальных развертываний Zoom, ИТ-администраторы могут поддерживать актуальное состояние своего программного обеспечения Zoom, следуя указаниям на странице https://support.zoom.us/hc/en-us/articles/360043960031

Затрагиваемые продукты:

  • MMR локального коннектора конференций Zoom до версии 4.8.20220815.130

Источник: По данным отдела наступательной безопасности Zoom

ZSB-22020 09/13/2022 Локальные развертывания Zoom: ненадлежащий контроль доступа Критический CVE-2022-28758
CVE-2022-28759

Уровень серьезности: Критический

Оценка по CVSS: 8.2

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Описание: MMR локального коннектора конференций Zoom до версии 4.8.20220815.130 имеет уязвимость, связанную с ненадлежащим контролем доступа. Вследствие этого злоумышленник может получить доступ к аудио- и видеопотоку конференции, к которой он присоединился без разрешения, что может привести к ее срыву.

Что касается локальных развертываний Zoom, ИТ-администраторы могут поддерживать актуальное состояние своего программного обеспечения Zoom, следуя указаниям на странице https://support.zoom.us/hc/en-us/articles/360043960031

Затрагиваемые продукты:

  • MMR локального коннектора конференций Zoom до версии 4.8.20220815.130

Источник: По данным отдела безопасности Zoom

ZSB-22019 08/17/2022 Эскалация локальных привилегий в инструменте автоматического обновления: Zoom Client for Meetings для macOS Критический CVE-2022-28757

Уровень серьезности: Критический

Оценка по CVSS: 8.8

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Описание: Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов), начиная с версии 5.7.3 и до версии 5.11.6, имеет уязвимость, связанную с процессом автоматического обновления. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью для эскалации своих привилегий до уровня root.

Примечание. Эта проблема позволяет обойти исправление, выпущенное в версии 5.11.5 для решения CVE-2022-28756.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов), начиная с версии 5.7.3 и до версии 5.11.6

Источник: По данным Ксабы Фитцля (Csaba Fitzl, theevilbit), Offensive Security

ZSB-22018 08/13/2022 Эскалация локальных привилегий в инструменте автоматического обновления: продукты Zoom для macOS [Updated 2022-09-13] Критический CVE-2022-28756

Уровень серьезности: Критический

Оценка по CVSS: 8.8

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Описание: Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов), начиная с версии 5.7.3 и до версии 5.11.5, и Zoom Rooms для конференц-залов для macOS до версии 5.11.6 имеет уязвимость, связанную с процессом автоматического обновления. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью для эскалации своих привилегий до уровня root.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

* Изменения: 13.09.2022. Обновлены заголовок и описание, в раздел «Затронутые продукты» добавлено решение Zoom Rooms.

Затрагиваемые продукты:

  • Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов), начиная с версии 5.7.3 и до версии 5.11.5
  • Zoom Rooms для конференц-залов для macOS до версии 5.11.6

Источник: По данным Патрика Уордла (Patrick Wardle) из Objective-See

ZSB-22017 08/09/2022 Эскалация локальных привилегий в Zoom Client for Meetings для macOS Критический CVE-2022-28751

Уровень серьезности: Критический

Оценка по CVSS: 8.8

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Описание: Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов) до версии 5.11.3 имеет уязвимость, связанную с проверкой подписи пакета в процессе обновления. Локальный пользователь с минимальными привилегиями может воспользоваться этой уязвимостью для эскалации своих привилегий до уровня root.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов) до версии 5.11.3

Источник: По данным Патрика Уордла (Patrick Wardle) из Objective-See

ZSB-22014 08/09/2022 Локальные развертывания Zoom: ненадлежащий контроль доступа Критический CVE-2022-28753
CVE-2022-28754

Уровень серьезности: Критический

Оценка по CVSS: 7,1

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N

Описание: MMR локального коннектора конференций Zoom до версии 4.8.129.20220714 имеет уязвимость, связанную с ненадлежащим контролем доступа. Вследствие этого злоумышленник может присоединиться к конференции, к которой ему разрешен доступ, и при этом другие участники не будут его видеть, может допустить себя на конференцию из зала ожидания, стать организатором и сорвать конференцию иными действиями.

Что касается локальных развертываний Zoom, ИТ-администраторы могут поддерживать актуальное состояние своего программного обеспечения Zoom, следуя указаниям на странице https://support.zoom.us/hc/en-us/articles/360043960031

Затрагиваемые продукты:

  • MMR локального коннектора конференций Zoom до версии 4.8.129.20220714

Источник: По данным отдела наступательной безопасности Zoom

ZSB-22016 08/09/2022 Ненадлежащий анализ URL в Zoom desktop client или Zoom mobile app [Updated 2022-10-24] Критический CVE-2022-28755

Уровень серьезности: Критический

Оценка по CVSS: 9.6

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Описание: Решения Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.11.0 подвержены уязвимости, связанной с анализом URL. Перейдя по вредоносному URL на конференцию Zoom, пользователь может подключиться к произвольному сетевому адресу, что приведет к дополнительным атакам, в том числе сделает возможным удаленное выполнение кода путем запуска исполняемых файлов из произвольных путей.

* Изменения: 24.10.2022. В раздел «Затронутые продукты» добавлено решение Zoom Rooms.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.11.0

Источник: По данным отдела наступательной безопасности Zoom

ZSB-22012 08/09/2022 Локальные развертывания Zoom: переполнение буфера стека в коннекторе конференций Критический CVE-2022-28750

Уровень серьезности: Критический

Оценка по CVSS: 7.5

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Описание: Локальный контроллер зон (ZC) коннектора конференций Zoom до версии 4.8.20220419.112 не может надлежащим образом анализировать коды ошибок STUN, что может привести к повреждению памяти и позволит злоумышленнику выполнить аварийное завершение работы приложения. В версиях до 4.8.12.20211115 эту уязвимость также могут использовать для выполнения произвольного кода.

Что касается локальных развертываний Zoom, ИТ-администраторы могут поддерживать актуальное состояние своего программного обеспечения Zoom, следуя рекомендациям на странице https://support.zoom.us/hc/en-us/articles/360043960031

Затрагиваемые продукты:

  • Локальный контроллер зон (ZC) коннектора конференций Zoom до версии 4.8.20220419.112

Источник: По данным отдела наступательной безопасности Zoom

ZSB-22011 06/14/2022 Недостаточная проверка авторизации во время присоединения к конференции Критический CVE-2022-28749

Уровень серьезности: Критический

Оценка по CVSS: 6,5

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Описание: Мультимедийный маршрутизатор локального коннектора конференций Zoom до версии 4.8.113.20220526 не может надлежащим образом проверить разрешения присутствующих на конференциях Zoom. В результате этого злоумышленники в зале ожидания Zoom могут присоединяться к конференции без согласия организатора.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Локальный коннектор конференций до версии 4.8.113.20220526.

Источник: По данным отдела наступательной безопасности Zoom

ZSB- 22010 06/14/2022 DLL-инъекция в инструмент установки Zoom Opener для Zoom Client for Meetings и клиента Zoom Rooms Критический CVE-2022-22788

Уровень серьезности: Критический

Оценка по CVSS: 7,1

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

Описание: Пользователи загружают инструмент установки Zoom Opener на странице запуска конференции при попытке присоединиться к конференции без установки Zoom Client for Meetings. Инструмент установки Zoom Opener для Zoom Client for Meetings до версии 5.10.3 и Zoom Rooms для конференц-залов для Windows до версии 5.10.3 подвержен атакам типа «DLL-инъекция». Эта уязвимость может использоваться для запуска произвольного кода на узле жертвы.

Пользователи могут помочь обезопасить себя, удалив более ранние версии и запуская последние версии инструмента установки Zoom Opener с помощью кнопки «Загрузить сейчас» на странице запуска конференции. Кроме того, пользователи могут защитить себя, загрузив новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings для Windows до версии 5.10.3.
  • Все Zoom Rooms для конференц-залов для Windows до версии 5.10.3.

Источник: По данным Джеймса Цз Ко Юнга (James Tsz Ko Yeung)

ZSB-22009 05/17/2022 Недостаточная проверка имени узла во время переключения сервера в Zoom Client for Meetings Критический CVE-2022-22787

Уровень серьезности: Критический

Оценка по CVSS: 5,9

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Описание: Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.10.0 не удается надлежащим образом проверить имя узла во время выполнения запроса на переключение сервера. Эту проблему могут использовать в более сложной атаке с целью обманным путем заставить клиент ничего не подозревающего пользователя подключиться к вредоносному серверу при попытке воспользоваться услугами Zoom.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.10.0

Источник: По данным Ивана Фратрика из Google Project Zero

ZSB-22008 05/17/2022 Обновление в целях понижения пакета до предыдущей версии в Zoom Client for Meetings для Windows Критический CVE-2022-22786

Уровень серьезности: Критический

Оценка по CVSS: 7.5

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Описание: Zoom Client for Meetings для Windows до версии 5.10.0 и Zoom Rooms для конференц-залов для Windows до версии 5.10.0 не удается надлежащим образом проверить версию установки во время процесса обновления. Эту проблему могут использовать в более сложной атаке с целью обманным путем заставить пользователя понизить версию Zoom Desktop Client до менее безопасной.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Все версии Zoom Client for Meetings для Windows до версии 5.10.0
  • Все Zoom Rooms для конференц-залов для Windows до версии 5.10.0

Источник: По данным Ивана Фратрика из Google Project Zero

ZSB-22007 05/17/2022 Ненадлежащее ограничение файлов cookie сеанса в Zoom Client for Meetings Критический CVE-2022-22785

Уровень серьезности: Критический

Оценка по CVSS: 5,9

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Описание: Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.10.0 не удается надлежащим образом ограничить файлы cookie сеанса клиента, чтобы они использовались только для доменов Zoom. Эту проблему могут использовать в более сложной атаке с целью отправить файлы cookie сеанса Zoom отдельного пользователя на домен, не принадлежащий Zoom. Этим могут воспользоваться для подмены пользователя Zoom.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.10.0

Источник: По данным Ивана Фратрика из Google Project Zero

ZSB- 22006 05/17/2022 Неправильный анализ XML в Zoom Client for Meetings Критический CVE-2022-22784

Уровень серьезности: Критический

Оценка по CVSS: 8.1

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Описание: Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.10.0 не удается надлежащим образом проанализировать XML-стансы в XMPP-сообщениях. Благодаря этому злоумышленник может выйти за рамки контекста текущего XMPP-сообщения и создать новый контекст сообщения, чтобы платформа клиента пользователя, получающего сообщение, выполняла разнообразные действия. Эту проблему могут использовать в более сложной атаке в целях подделки XMPP-сообщений из сервера.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.10.0

Источник: По данным Ивана Фратрика из Google Project Zero

ZSB- 22005 04/27/2022 Незащищенность памяти процесса в локальных службах конференций Zoom Критический CVE-2022-22783

Уровень серьезности: Критический

Оценка по CVSS: 8.3

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/CR:H

Описание: Уязвимость локального контроллера коннектора конференций Zoom версии 4.8.102.20220310 и MMR локального коннектора конференций версии 4.8.102.20220310 заключается в предоставлении подключенным клиентам фрагментов памяти процесса, которые могут просматривать пассивные злоумышленники.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности.

Затрагиваемые продукты:

  • Локальный контроллер коннектора конференций Zoom версии 4.8.102.20220310
  • MMR локального коннектора конференций Zoom версии 4.8.102.20220310

Источник: Отдел наступательной безопасности Zoom

ZSB-22004 04/27/2022 Эскалация локальных привилегий в клиентах Zoom Client для Windows Критический CVE-2022-22782

Уровень серьезности: Критический

Оценка по CVSS: 7.9

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

Описание: Zoom Client for Meetings для Windows до версии 5.9.7, Zoom Rooms для конференц-зала для Windows до версии 5.10.0, плагины Zoom для Microsoft Outlook для Windows до версии 5.10.3 и Zoom Meeting Client для VDI для Windows до версии 5.9.6 были подвержены эскалации локальных привилегий в процессе восстановления программы установки. Злоумышленник мог использовать это для потенциального удаления файлов или папок системного уровня, вызывая проблемы с целостностью или доступностью на хост-машине пользователя.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings для Windows до версии 5.9.7
  • Все версии Zoom Rooms для конференц-залов для Windows до версии 5.10.0
  • Все версии плагинов Zoom для Microsoft Outlook для Windows до версии 5.10.3
  • Все версии Zoom Meeting Client для VDI для Windows до версии 5.9.6

Источник: По данным Zero Day Initiative

ZSB-22003 04/27/2022 Обновление понижения пакета до предыдущей версии в Zoom Client for Meetings для macOS Критический CVE-2022-22781

Уровень серьезности: Критический

Оценка по CVSS: 7.5

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Описание: В Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов) до версии 5.9.6 не удавалось корректно проверить версию пакета в процессе обновления. Таким образом злоумышленник мог обновить версию приложения до менее безопасной на компьютере ничего не подозревающего пользователя.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Все решения Zoom Client for Meetings для macOS (стандартная версия и версия для ИТ-администраторов) до версии 5.9.6

Источник: По данным Патрика Уордла (Patrick Wardle) из Objective-See

ZSB-22002 02/08/2022 Решение Zoom Team Chat подвержено ZIP-бомбардировке Критический CVE-2022-22780

Уровень серьезности: Критический

Оценка по CVSS: 4.7

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L

Описание: Функция чата Zoom Client for Meetings была подвержена атакам с использованием ZIP-бомб в следующих версиях продукта: для Android до версии 5.8.6, для iOS до версии 5.9.0, для Linux до версии 5.8.6, для macOS до версии 5.7.3 и Windows до версии 5.6.3. Это могло привести к проблемам с доступностью на узле Zoom Client for Meetings ввиду исчерпания системных ресурсов.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Все версии Zoom Client for Meetings для Android до версии 5.8.6
  • Все версии Zoom Client for Meetings для iOS до версии 5.9.0
  • Все версии Zoom Client for Meetings для Linux до версии 5.8.6
  • Все версии Zoom Client for Meetings для macOS до версии 5.7.3
  • Все версии Zoom Client for Meetings для Windows до версии 5.6.3

Источник: По данным Джонни Ву из Walmart Global Tech

ZSB-22001 02/08/2022 Сохранение разбитых на части сообщений в клиентах Keybase Client для macOS и Windows Критический CVE-2022-22779

Уровень серьезности: Критический

Оценка по CVSS: 3.7

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Описание: В клиентах Keybase Client для macOS и Windows до версии 5.9.0 не работает надлежащее удаление разбитых на части сообщений, инициированных пользователем. Такое может наблюдаться, если пользователь, получающий сообщение, переключается на функцию, не связанную с чатом, и переводит узел в спящий режим до того, как пользователь, отправляющий сообщение, разобьет сообщение на части. Это могло приводить к раскрытию конфиденциальной информации, которая должна была быть удалена из файловой системы пользователя.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Keybase со всеми текущими обновлениями безопасности на странице https://keybase.io/download.

Затрагиваемые продукты:

  • Все версии клиента Keybase Client для macOS и Windows до версии 5.9.0.

Источник: По данным Оливии О’Хара (Olivia O'Hara)

ZSB-21022 12/14/2021 Выполнение случайной команды в Keybase Client для Windows Критический CVE-2021-34426

Уровень серьезности: Критический

Оценка по CVSS: 5.3

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

Описание: В Keybase Client для Windows до версии 5.6.0 была обнаружена уязвимость при выполнении пользователем команды «keybase git lfs-config» в командной строке. До версии 5.6.0 злоумышленник с правами на запись в гит-репозиторий пользователя мог потенциально использовать эту уязвимость для выполнения произвольных команд Windows в локальной системе пользователя.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Keybase со всеми текущими обновлениями безопасности на странице https://keybase.io/download.

Затрагиваемые продукты:

  • Все версии Keybase Client для Windows до версии 5.6.0

Источник: По данным RyotaK

ZSB-21021 12/14/2021 Подделка серверного запроса в чате Zoom Client for Meetings Критический CVE-2021-34425

Уровень серьезности: Критический

Оценка по CVSS: 4.7

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N

Описание: В Zoom Client for Meetings до версии 5.7.3 (для Android, iOS, Linux, macOS и Windows) была уязвимость подделки серверного запроса, содержащаяся в функции предпросмотра ссылки в чате. В версиях до 5.7.3 при включении пользователем в чате функции «Предпросмотр ссылки» злоумышленник мог обманом вынудить пользователя потенциально отправлять произвольные запросы HTTP GET на URL-адреса, к которым у злоумышленника нет непосредственного доступа.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Все версии Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.7.3

Источник: По данным Джонни Ву из Walmart Global Tech

ZSB-21020 11/24/2021 Незащищенность памяти процесса в Zoom Client и других продуктах Критический CVE-2021-34424

Уровень серьезности: Критический

Оценка по CVSS: 5.3

Векторная последовательность CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Описание: В продуктах, перечисленных в разделе «Затронутые продукты» этих сводок по безопасности, была обнаружена уязвимость, потенциально раскрывающая состояние памяти процесса. Эту проблему потенциально можно использовать для получения сведений из случайных областей памяти продукта.

Компания Zoom исправила эту проблему в последних выпусках продуктов, перечисленных в разделе ниже. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности.

Затрагиваемые продукты:

  • Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.8.4
  • Zoom Client for Meetings для BlackBerry (Android и iOS) до версии 5.8.1
  • Zoom Client for Meetings для Intune (Android и iOS) до версии 5.8.4
  • Zoom Client for Meetings для Chrome OS до версии 5.0.1
  • Zoom Rooms для конференц-залов (Android, AndroidBali, macOS и Windows) до версии 5.8.3
  • Контроллеры для Zoom Rooms (Android, iOS и Windows) до версии 5.8.3
  • Zoom Meeting Client для VDI Windows до версии 5.8.4
  • Плагины виртуального рабочего стола Azure VDI для Zoom (Windows x86 и x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) до версии 5.8.4.21112
  • Плагины VDI Citrix для Zoom (Windows x86 и x64, универсальное средство установки и удаления программ на Mac, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) до версии 5.8.4.21112
  • Плагины VDI VMware для Zoom (Windows x86 и x64, универсальное средство установки и удаления программ на Mac, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) до версии 5.8.4.21112
  • Пакет средств для разработки ПО Zoom Meeting для Android до версии 5.7.6.1922
  • Пакет средств для разработки ПО Zoom Meeting для iOS до версии 5.7.6.1082
  • Пакет средств для разработки ПО Zoom Meeting для Windows до версии 5.7.6.1081
  • Пакет средств для разработки ПО Zoom Meeting для Mac до версии 5.7.6.1340
  • Пакет средств для разработки ПО для видеосвязи Zoom (Android, iOS, macOS и Windows) до версии 1.1.2
  • Локальный коннектор конференций Zoom до версии 4.8.12.20211115
  • MMR локального коннектора конференций Zoom до версии 4.8.12.20211115
  • Локальный коннектор записи Zoom до версии 5.1.0.65.20211116
  • Локальный коннектор виртуальных залов Zoom до версии 4.4.7266.20211117
  • Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5692.20211117
  • Zoom Hybrid Zproxy до версии 1.0.1058.20211116
  • Zoom Hybrid MMR до версии 4.6.20211116.131_x86-64

Источник: По данным Натали Сильванович (Natalie Silvanovich) из Google Project Zero

ZSB-21019 11/24/2021 Переполнение буфера в Zoom Client и других продуктах Критический CVE-2021-34423

Уровень серьезности: Критический

Оценка по CVSS: 7.3

Векторная последовательность CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Описание: В продуктах, перечисленных в разделе «Затронутые продукты» этих сводок по безопасности, была обнаружена уязвимость переполнения буфера. Потенциально она позволяет злоумышленнику вызвать аварийное завершение службы или приложения. Уязвимость можно также использовать для выполнения случайного кода.

Компания Zoom исправила эту проблему в последних выпусках продуктов, перечисленных в разделе ниже. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности.

Затрагиваемые продукты:

  • Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.8.4
  • Zoom Client for Meetings для BlackBerry (Android и iOS) до версии 5.8.1
  • Zoom Client for Meetings для Intune (Android и iOS) до версии 5.8.4
  • Zoom Client for Meetings для Chrome OS до версии 5.0.1
  • Zoom Rooms для конференц-залов (Android, AndroidBali, macOS и Windows) до версии 5.8.3
  • Контроллеры для Zoom Rooms (Android, iOS и Windows) до версии 5.8.3
  • Zoom Meeting Client для VDI Windows до версии 5.8.4
  • Плагины виртуального рабочего стола Azure VDI для Zoom (Windows x86 и x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) до версии 5.8.4.21112
  • Плагины VDI Citrix для Zoom (Windows x86 и x64, универсальное средство установки и удаления программ на Mac, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) до версии 5.8.4.21112
  • Плагины VDI VMware для Zoom (Windows x86 и x64, универсальное средство установки и удаления программ на Mac, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) до версии 5.8.4.21112
  • Пакет средств для разработки ПО Zoom Meeting для Android до версии 5.7.6.1922
  • Пакет средств для разработки ПО Zoom Meeting для iOS до версии 5.7.6.1082
  • Пакет средств для разработки ПО Zoom Meeting для macOS до версии 5.7.6.1340
  • Пакет средств для разработки ПО Zoom Meeting для Windows до версии 5.7.6.1081
  • Пакет средств для разработки ПО для видеосвязи Zoom (Android, iOS, macOS и Windows) до версии 1.1.2
  • Локальный контроллер коннектора конференций Zoom до версии 4.8.12.20211115
  • MMR локального коннектора конференций Zoom до версии 4.8.12.20211115
  • Локальный коннектор записи Zoom до версии 5.1.0.65.20211116
  • Локальный коннектор виртуальных залов Zoom до версии 4.4.7266.20211117
  • Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5692.20211117
  • Zoom Hybrid Zproxy до версии 1.0.1058.20211116
  • Zoom Hybrid MMR до версии 4.6.20211116.131_x86-64

Источник: Источник. По данным Натали Сильванович (Natalie Silvanovich) из Google Project Zero

ZSB-21018 11/09/2021 Выход за пределы каталога имен файлов в Keybase Client для Windows Критический CVE-2021-34422

Уровень серьезности: Критический

Оценка по CVSS: 7.2

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

Описание: В Keybase Client для Windows до версии 5.7.0 содержалась уязвимость выхода за пределы каталога при проверке имени файла, загруженного в папку команды. Пользователь-злоумышленник мог загрузить файл со специальным именем в общую папку для выполнения приложения, не предназначенного для этой хост-машины. Использование пользователем-злоумышленником этой ошибки с функцией совместного доступа в Keybase Client к открытой папке могло привести к удаленному выполнению кода.

Эта ошибка исправлена в Keybase Client для Windows в выпуске 5.7.0. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Keybase со всеми текущими обновлениями безопасности на странице https://keybase.io/download.

Затрагиваемые продукты:

  • Keybase Client для Windows до версии 5.7.0

Источник: По данным m4t35z

ZSB-21017 11/09/2021 Сохранение разбитых на части сообщений в Keybase Client для Android и iOS Критический CVE-2021-34421

Уровень серьезности: Критический

Оценка по CVSS: 3.7

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Описание: В Keybase Client для Android до версии 5.8.0 и в Keybase Client для iOS до версии 5.8.0 не работает надлежащее удаление разбитых на части сообщений, инициированных пользователем, если сеанс чата у получающего пользователя находится в фоновом режиме в то время, когда у отправляющего пользователя происходит разбивка сообщений. Это могло приводить к раскрытию конфиденциальной информации, которая должна была быть удалена с устройства клиента.

Эта ошибка исправлена в Keybase Client в выпуске 5.8.0 для Android и в выпуске 5.8.0 для iOS. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Keybase со всеми текущими обновлениями безопасности на странице https://keybase.io/download.

Затрагиваемые продукты:

  • Все версии Keybase Client для Android до версии 5.8.0
  • Все версии Keybase Client для iOS до версии 5.8.0

Источник: По данным Оливии О'Хара, Джона Джексона, Джексона Генри и Роберта Уиллиса

ZSB-21016 11/09/2021 Обход подписи исполняемого файла установки Zoom в Windows Критический CVE-2021-34420

Уровень серьезности: Критический

Оценка по CVSS: 4.7

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N

Описание: Установщик Zoom Client for Meetings для Windows до версии 5.5.4 не проверяет надлежащим образом подпись файлов с расширениями .msi, .ps1 и .bat. Это могло привести к установке злоумышленником вредоносного ПО на компьютере клиента.

Компания Zoom исправила эту проблему в выпуске 5.5.4 Zoom Client for Meetings для Windows. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Все версии Zoom Client for Meetings для Windows до версии 5.5.4

Источник: По данным Лорена Делосье (Laurent Delosieres) из ManoMano

ZSB-21015 11/09/2021 Ввод HTML в Zoom Client для Linux Критический CVE-2021-34419

Уровень серьезности: Критический

Оценка по CVSS: 3.7

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

Описание: В Zoom Client for Meetings для Ubuntu Linux до версии 5.1.0 существует дефект ввода HTML при отправке пользователю запроса на удаленное управление во время демонстрации экрана на конференции. Таким образом, участники конференций могли стать жертвами информационно-психологических атак.

Компания Zoom исправила эту проблему в выпуске 5.1.0 Zoom Client for Meetings для Ubuntu Linux. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings для Ubuntu Linux до версии 5.1.0

Источник: По данным Дэнни дэ Виля (Danny de Weille) и Рика Вердозы (Rick Verdoes) из hackdefense

ZSB-21014 11/09/2021 Сбой указателя, содержащего неопределенное значение, при предварительной авторизации в локальной веб-консоли Критический CVE-2021-34418

Уровень серьезности: Критический

Оценка по CVSS: 4.0

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Описание: Для продуктов, перечисленных в разделе «Затронутые продукты» этих сводок по безопасности, в службе входа в веб-консоль не удается проверить отправку неопределенного значения во время авторизации. Это могло привести к аварийному завершению службы входа.

Затрагиваемые продукты:

  • Локальный контроллер коннектора конференций Zoom до версии 4.6.239.20200613
  • MMR локального коннектора конференций Zoom до версии 4.6.239.20200613
  • Локальный коннектор записи Zoom до версии 3.8.42.20200905
  • Локальный коннектор виртуальных залов Zoom до версии 4.4.6344.20200612
  • Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5492.20200616

Источник: По данным Джереми Брауна

ZSB-21013 11/09/2021 Авторизированное выполнение удаленной команды с привилегиями root-пользователя с помощью веб-консоли в MMR Критический CVE-2021-34417

Уровень серьезности: Критический

Оценка по CVSS: 7.9

Векторная последовательность CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N

Описание: В продуктах, перечисленных в разделе «Затронутые продукты» этих сводок по безопасности, на странице сетевого прокси Web Portal не удается проверить значение ввода, отправляемого в запросах на установку пароля сетевого прокси. Это могло привести к вводу удаленной команды администратором Web Portal.

Затрагиваемые продукты:

  • Локальный контроллер коннектора конференций Zoom до версии 4.6.365.20210703
  • MMR локального коннектора конференций Zoom до версии 4.6.365.20210703
  • Локальный коннектор записи Zoom до версии 3.8.45.20210703
  • Локальный коннектор виртуальных залов Zoom до версии 4.4.6868.20210703
  • Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5496.20210703

Источник: По данным Джереми Брауна

ZSB-21012 09/30/2021 Удаленное выполнение кода в локальной среде с помощью Web Portal Критический CVE-2021-34416

Уровень серьезности: Критический

Оценка по CVSS: 5.5

Векторная последовательность CVSS: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N

Описание: Web Portal административных настроек сетевого адреса для локального коннектора конференций Zoom до версии 4.6.360.20210325, MMR локального коннектора конференций Zoom до версии 4.6.360.20210325, локального коннектора записи Zoom до версии 3.8.44.20210326, локального коннектора виртуальных залов Zoom до версии 4.4.6752.20210326 и локального балансировщика нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5495.20210326 не может проверить значение ввода, отправленное в запросах на обновление конфигурации сети, что может привести ко вводу администраторами Web Portal удаленной команды в локальной среде.

Затрагиваемые продукты:

  • Локальный коннектор конференций Zoom до версии 4.6.360.20210325
  • MMR локального коннектора конференций Zoom до версии 4.6.360.20210325
  • Локальный коннектор записи Zoom до версии 3.8.44.20210326
  • Локальный коннектор виртуальных залов Zoom до версии 4.4.6752.20210326
  • Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5495.20210326

Источник: По данным Егора Димитренко (Egor Dimitrenko) из Positive Technologies

ZSB-21011 09/30/2021 Аварийное завершение контроллера зон с помощью ПБД с последующими многочисленными распределениями Критический CVE-2021-34415

Уровень серьезности: Критический

Оценка по CVSS: 7.5

Векторная последовательность CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Описание: Служба контроллера зон в локальном контроллере коннектора конференций Zoom до версии 4.6.358.20210205 не проверяет значение поля cnt, отправленное во входящих сетевых пакетах, что приводит к истощению ресурсов и аварийному завершению работы системы.

Затрагиваемые продукты:

  • Локальный контроллер коннектора конференций Zoom до версии 4.6.358.20210205

Источник: По данным Никиты Абрамова (Nikita Abramov) из Positive Technologies

ZSB-21010 09/30/2021 Удаленное выполнение кода на сервере коннектора конференций с помощью конфигурации сетевого прокси на Web Portal Критический CVE-2021-34414

Уровень серьезности: Критический

Оценка по CVSS: 7.2

Векторная последовательность CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Описание: На странице сетевого прокси Web Portal для локального контроллера коннектора конференций Zoom до версии 4.6.348.20201217, MMR локального коннектора конференций Zoom до версии 4.6.348.20201217, локального коннектора записи Zoom до версии 3.8.42.20200905, локального коннектора виртуальных залов Zoom до версии 4.4.6620.20201110 и локального балансировщика нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5495.20210326 не удается проверить значение ввода, отправленное в запросах на обновление конфигурации сетевого прокси, что может привести ко вводу администраторами Web Portal удаленной команды в локальной среде.

Затрагиваемые продукты:

  • Локальный контроллер коннектора конференций Zoom до версии 4.6.348.20201217
  • MMR локального коннектора конференций Zoom до версии 4.6.348.20201217
  • Локальный коннектор записи Zoom до версии 3.8.42.20200905
  • Локальный коннектор виртуальных залов Zoom до версии 4.4.6620.20201110
  • Локальный балансировщик нагрузки для коннектора виртуальных залов Zoom до версии 2.5.5495.20210326

Источник: По данным Егора Димитренко (Egor Dimitrenko) из Positive Technologies

ZSB-21009 09/30/2021 Эскалация локальных привилегий программы установки плагина Outlook для Zoom в macOS Критический CVE-2021-34413

Уровень серьезности: Критический

Оценка по CVSS: 2.8

Векторная последовательность CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N

Описание: Все версии плагина Zoom для Microsoft Outlook для macOS до версии 5.3.52553.0918 имеют уязвимость, связанную со временем проверки и временем использования (TOC/TOU) в процессе установки плагина. Таким образом, стандартный пользователь мог записать собственное вредоносное приложение в каталог плагинов и позволить запуск этого приложения в среде с повышенными привилегиями.

Затрагиваемые продукты:

  • Все версии плагина Zoom для Microsoft Outlook для macOS до версии 5.3.52553.0918

Источник: По данным группы тестирования внешних угроз компании Lockheed Martin

ZSB-21008 09/30/2021 Эскалация локальных привилегий программы установки Zoom for Windows Критический CVE-2021-34412

Уровень серьезности: Критический

Оценка по CVSS: 4.4

Векторная последовательность CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Описание: В процессе установки всех версий Zoom Client for Meetings для Windows до версии 5.4.0 можно запустить Internet Explorer. При запуске программы установки с повышенными привилегиями (например, SCCM) это может привести к эскалации локальных привилегий.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings для Windows до версии 5.4.0

Источник: По данным группы тестирования внешних угроз компании Lockheed Martin

ZSB-21007 09/30/2021 Эскалация локальных привилегий программы установки Zoom Rooms Критический CVE-2021-34411

Уровень серьезности: Критический

Оценка по CVSS: 4.4

Векторная последовательность CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Описание: В процессе установки Zoom Rooms для конференц-залов для Windows до версии 5.3.0 возможен запуск Internet Explorer с повышенными привилегиями. При запуске программы установки с повышенными привилегиями (например, SCCM) это может привести к эскалации локальных привилегий.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Rooms для конференц-залов для Windows до версии 5.3.0
  • Zoom Rooms для конференц-залов до версии 5.1.0

Источник: По данным группы тестирования внешних угроз компании Lockheed Martin

ZSB-21004 09/30/2021 Повышенные права на запись в установщике MSI Zoom с помощью функции соединения Критический CVE-2021-34408

Уровень серьезности: Критический

Оценка по CVSS: 7.0

Векторная последовательность CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Описание: Каталог с правами на запись для пользователя, созданный в процессе установки Zoom Client for Meetings для Windows до версии 5.3.2, можно перенаправить в другое расположение с помощью функции соединения. Так злоумышленник может перезаписать файлы, которые в противном случае пользователь с ограниченными правами не смог бы изменить.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom Client for Meetings для Windows до версии 5.3.2

Источник: По данным группы тестирования внешних угроз компании Lockheed Martin

ZSB-21003 09/30/2021 Обход цифровой подписи программы установки Zoom в Windows Критический CVE-2021-33907

Уровень серьезности: Критический

Оценка по CVSS: 7.0

Векторная последовательность CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H/MPR:N/MUI:R/MS:U/MC:H/MI:H/MA:H

Описание: В Zoom Client for Meetings для Windows во всех версиях до 5.3.0 не удается надлежащим образом проверить информацию о сертификате, использованном для подписи файлов .msi при обновлении клиента. Это могло привести к удаленному выполнению кода в среде с повышенными привилегиями.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Все версии Zoom Client for Meetings для Windows до версии 5.3.0

Источник: По данным группы тестирования внешних угроз компании Lockheed Martin

ZSB-21002 08/13/2021 Переполнение кучи из статического буфера привело к отключению записи из сообщения XMPP (расширяемый протокол обмена сообщениями и информацией о присутствии) Критический CVE-2021-30480

Уровень серьезности: Критический

Оценка по CVSS: 8.1

Векторная последовательность CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H

Описание: Переполнение буфера на основе кучи существует во всех версиях Zoom Client for Meetings для рабочего стола, предшествующих версии 5.6.3. Сведения об этом наблюдении были представлены в Zoom в рамках Pwn20wn 2021 в Ванкувере. Подавление цепочки атак, продемонстрированной во время Pwn20wn, было реализовано в изменении на стороне сервера в инфраструктуре Zoom 09.04.2021.

При объединении с двумя другими проблемами, о которых сообщалось во время Pwn20wn (ненадлежащая проверка URL при отправке сообщения XMPP (расширяемый протокол обмена сообщениями и информацией о присутствии) для доступа к URL приложения Zoom Marketplace и неверная проверка URL при отображении изображения GIPHY) злоумышленник может добиться удаленного выполнения кода на целевом компьютере.
Для успешного выполнения этой атаки целевой объект должен предварительно принять запрос соединения от злоумышленника или участвовать в чате с несколькими пользователями, в числе которых присутствует злоумышленник. Цепочка атак, продемонстрированная во время Pwn20wn, была достаточно очевидной для целевых объектов, поэтому об этой проблеме уведомили несколько клиентов.

Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Все версии Zoom Client for Meetings для рабочего стола, предшествующие версии 5.6.3.

Источник: Сведения предоставили Даан Кеупер (Daan Keuper) и Тийс Алькемад (Thijs Alkemade) из компании Computest во время инициативы нулевого дня.

ZSB-21001 03/26/2021 Функция демонстрации экрана для окна приложения Критический CVE-2021-28133

Уровень серьезности: Критический

Оценка по CVSS: 5.7

Векторная последовательность CVSS: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

Описание: Из-за уязвимости была нарушена работа функции демонстрации экрана в клиентах Zoom для Windows и Linux при демонстрации окон отдельного приложения. Это проявляется в том, что содержимое экранов тех приложений, для которых демонстрирующий свой экран пользователь не давал четкой команды показывать их, может на мгновение стать видимым для других участников конференции в тот момент, когда демонстрирующий свой экран пользователь сворачивает, разворачивает или закрывает другое окно.

Внедрено несколько новых мер безопасности в клиент Zoom для Windows версии 5.6, что снижает вероятность возникновения проблем у пользователей Windows. Мы продолжаем работу над внедрением дополнительных мер для решения этой проблемы на всех платформах, для которых это актуально.

Компания Zoom также исправила эту проблему для пользователей Ubuntu 1 марта 2021 года в Zoom Client для Linux версии 5.5.4. Пользователи могут применить текущие обновления или скачать новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Все версии Zoom Client для Windows
  • Версии Zoom Client для Linux до версии 5.5.4 на Ubuntu
  • Все версии клиента для Linux на других поддерживаемых дистрибутивах

Источник: Обнаружено Майклом Страмезом (Michael Stramez) и Матиасом Дигом (Matthias Deeg).

ZSB-20002 08/14/2020 Windows DLL в сервисе обмена файлами Zoom Критический CVE-2020-9767

Уровень серьезности: Критический

Оценка по CVSS: 7.8

Векторная последовательность CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Описание: Уязвимость, связанная с загрузкой Dynamic-link Library («DLL») в сервисе обмена файлами Zoom, могла позволить локальному пользователю Windows расширять полномочия пользователя NT AUTHORITY/SYSTEM.

Уязвимость обусловлена недостаточными проверками подписей динамически загруженных DLL при загрузке исполняемого модуля с подписью. Злоумышленник мог использовать эту уязвимость, введя вредоносную DLL в исполняемый модуль Zoom, и с ее помощью запустить процессы с расширенными полномочиями.

Компания Zoom решила эту проблему в версии клиента 5.0.4. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Версии установщика Zoom для Windows (ZoomInstallerFull.msi) до 5.0.4

Источник: Коннор Скотт (Connor Scott) из службы безопасности контекстной информации

ZSB-20001 05/04/2020 IT-установщик Zoom для Windows Критический CVE-2020-11443

Уровень серьезности: Критический

Оценка по CVSS: Базовый: 8.4

Векторная последовательность CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Описание: Из-за уязвимости в способе обработки установщиком Zoom для Windows соединений при удалении файлов локальный пользователь Windows мог удалять те файлы, которые обычно не удаляются пользователем.

Уязвимость обусловлена недостаточной проверкой соединений в каталоге, из которого установщик удаляет файлы и который доступен для записи данных стандартными пользователями. Злонамеренный локальный пользователь мог использовать эту уязвимость, создав в уязвимом каталоге соединение, ведущее к защищенным системным или другим файлам, на изменение которых пользователь не имеет прав. После запуска установщика Zoom для Windows с расширенными правами, как в случае его запуска через управляемое программное обеспечение развертывания, эти файлы удаляются из системы.

Компания Zoom решила эту проблему в версии клиента 4.6.10. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Версии установщика Zoom для Windows (ZoomInstallerFull.msi) до 4.6.10

Источник: Благодаря группе тестирования внешних угроз компании Lockheed Martin.

ZSB-19003 07/12/2019 Служебный процесс ZoomOpener Критический CVE-2019-13567

Уровень серьезности: Критический

Оценка по CVSS: Базовый: 7.5

Векторная последовательность CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Описание: Из-за уязвимости в Zoom desktop client для macOS злоумышленник мог загрузить вредоносное программное обеспечение на устройство жертвы.

Уязвимость обусловлена ненадлежащей проверкой ввода и загруженного программного обеспечения во вспомогательном приложении ZoomOpener. Злоумышленник, используя эту уязвимость, мог инициировать загрузку файлов устройством жертвы в интересах злоумышленника. Успешное использование этой уязвимости возможно только в том случае, если жертва ранее удалила Zoom Client.

Компания Zoom решила эту проблему в версии клиента 4.4.52595.0425. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom desktop client для macOS до версии 4.4.52595.0425 и после версии 4.1.27507.0627

Источник: Неизвестно.

ZSB-19002 07/09/2019 Настройка видео по умолчанию Критический CVE-2019-13450

Уровень серьезности: Критический

Оценка по CVSS: Базовый: 3.1

Векторная последовательность CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

Описание: Из-за уязвимости в клиентах Zoom desktop client и RingCentral для macOS дистанционный неаутентифицированный злоумышленник мог принудить пользователя присоединиться к видеозвонку с включенной видеокамерой.

Уязвимость связана с недостаточным контролем авторизации для проверки систем, которые могут обмениваться данными с локальным веб-сервером Zoom, работающим через порт 19421. Злоумышленник, используя эту уязвимость, мог создать вредоносный веб-сайт, из-за деятельности которого Zoom Client принудительно автоматически присоединяется к конференции, организованной злоумышленником.

Добавлено новое диалоговое окно предварительного просмотра видео, которое появляется для просмотра пользователем перед присоединением к конференции в версии клиента 4.4.5, опубликованной 14 июля 2019 года. Это диалоговое окно позволяет пользователю включить или выключить видео при присоединении к конференции и предполагает настройку пользователем необходимых параметров по умолчанию для видео. Компания Zoom призывает клиентов установить самую новую версию Zoom Client, доступную на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom desktop client для macOS до версии 4.4.5
  • Клиент RingCentral для macOS до версии 4.4.5

Источник: Обнаружено Джонатаном Лайтшу (Jonathan Leitschuh).

ZSB-19001 07/09/2019 Поражение, приводящее к прекращению работы: macOS Критический CVE-2019-13449

Уровень серьезности: Критический

Оценка по CVSS: Базовый: 3.1

Векторная последовательность CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Описание: Из-за уязвимости в Zoom desktop client для macOS дистанционный неаутентифицированный злоумышленник мог инициировать прекращение работы в системе жертвы.

Уязвимость связана с недостаточным контролем авторизации для проверки систем, которые могут обмениваться данными с локальным веб-сервером Zoom, работающим через порт 19421. Злоумышленник, используя эту уязвимость, мог создать вредоносный веб-сайт, из-за деятельности которого Zoom Client постоянно пытается присоединиться к конференции с недействительным идентификатором конференции. Бесконечный цикл приводит к потере работоспособности Zoom Client и может повлиять на производительность системы, на которой он работает.

Для решения этой проблемы компания Zoom 28 апреля 2019 года выпустила версию Zoom desktop client для macOS 4.4.2-hotfix. Пользователи могут позаботиться о своей безопасности, применяя текущие обновления или загружая новейшее программное обеспечение Zoom со всеми текущими обновлениями безопасности на странице https://zoom.us/download.

Затрагиваемые продукты:

  • Zoom desktop client для macOS до версии 4.4.5
  • Клиент RingCentral для macOS до версии 4.4.5

Источник: Обнаружено Джонатаном Лайтшу (Jonathan Leitschuh).

No results found

Чтобы получать уведомления о будущих сводках по безопасности Zoom, укажите личный адрес электронной почты. (Примечание: эти уведомления не будут отправляться на псевдонимы электронной почты.)