Οι υπολογιστές-πελάτες υπολογιστών Zoom και VDI και το Meeting SDK για Windows είναι ευάλωτα σε ένα ελάττωμα επικύρωσης ακατάλληλης εισαγωγής που θα μπορούσε να επιτρέψει σε έναν εισβολέα χωρίς έλεγχο ταυτότητας να πραγματοποιήσει κλιμάκωση προνομίων στο σύστημα προορισμού μέσω του δικτύου.
Το Zoom είναι
μι
α δημοφιλής υπηρεσία τηλεδιάσκεψης που βασίζεται σε σύννεφο για εταιρικές συναντήσεις, εκπαιδευτικά μαθήματα, κοινωνικές αλληλεπιδράσεις/συγκέντρωση και πολλά άλλα. Προσφέρει κοινή χρήση οθόνης, εγγραφή συσκέψεων, προσαρμοσμένα υπόβαθρα, συνομιλία στη σύσκεψη και διάφορες λειτουργίες εστιασμένες στην παραγωγικότητα.
Η δημοτικότητα του λογισμικού αυξήθηκε κατά τη διάρκεια της πανδημίας
COVID
-19, όταν πολλοί οργανισμοί στράφηκαν σε λύσεις εξ αποστάσεως για τη διατήρηση των λειτουργιών και της επιχειρηματικής συνέχειας. Μέχρι τον Απρίλιο του 2020, έφτασε στο ανώτατο όριο των 300 εκατομμυρίων ημερήσιων συμμετεχόντων στις συναντήσεις.
ο
ελάττωμα που αποκαλύφθηκε πρόσφατα
παρακολουθείται ως
CVE-2024-24691
και ανακαλύφθηκε από την επιθετική ομάδα ασφαλείας του Zoom, λαμβάνοντας βαθμολογία CVSS v3.1 9,6, βαθμολογώντας το ως “κρίσιμο”.
Η ευπάθεια επηρεάζει τις ακόλουθες εκδόσεις προϊόντων:
- Zoom Desktop Client για Windows πριν από την έκδοση 5.16.5
- Zoom VDI Client για Windows πριν από την έκδοση 5.16.10 (εξαιρουμένων των 5.14.14 και 5.15.12)
- Zoom Rooms Client για Windows πριν από την έκδοση 5.17.0
- Zoom Meeting SDK για Windows πριν από την έκδοση 5.16.5
Η σύντομη περιγραφή του ελαττώματος δεν προσδιορίζει πώς θα μπορούσε να αξιοποιηθεί ή ποιες μπορεί να είναι οι επιπτώσεις, αλλά το διάνυσμα CVSS υποδεικνύει ότι απαιτεί κάποια αλληλεπίδραση με τον χρήστη.
Αυτό θα μπορούσε να περιλαμβάνει το κλικ σε έναν σύνδεσμο, το άνοιγμα ενός συνημμένου μηνύματος ή την εκτέλεση κάποιας άλλης ενέργειας που θα μπορούσε να αξιοποιήσει ο εισβολέας για να εκμεταλλευτεί το CVE-
2024
-24691.
Για τους περισσότερους ανθρώπους, το Zoom θα πρέπει να ζητά αυτόματα από τους χρήστες να ενημερώσουν στην πιο πρόσφατη έκδοση. Ωστόσο, μπορείτε να κάνετε λήψη και να εγκαταστήσετε με μη αυτόματο τρόπο την πιο πρόσφατη έκδοση του προγράμματος-πελάτη επιτραπέζιου
υπολογιστή
για Windows, έκδοση 5.17.7,
από εδώ
.
Εκτός από το ακατάλληλο ελάττωμα επικύρωσης εισαγωγής, η τελευταία έκδοση του Zoom αντιμετωπίζει επίσης τα ακόλουθα έξι τρωτά σημεία:
-
CVE-2024-24697
: Ένα ζήτημα υψηλής σοβαρότητας σε υπολογιστές-πελάτες Windows 32-bit Zoom επιτρέπει την κλιμάκωση των προνομίων μέσω τοπικής πρόσβασης, εκμεταλλευόμενος μια μη αξιόπιστη διαδρομή αναζήτησης. -
CVE-2024-24696
: Μια ευπάθεια συνομιλίας εντός σύσκεψης σε υπολογιστές-πελάτες Zoom Windows που προκαλείται από ακατάλληλη επικύρωση εισόδου επιτρέπει την
αποκάλυψη
πληροφοριών μέσω του δικτύου. -
CVE-2024-24695
: Παρόμοια με το CVE-2024-24696, η ακατάλληλη επικύρωση εισόδου σε υπολογιστές-πελάτες Zoom Windows επιτρέπει την αποκάλυψη πληροφοριών μέσω του δικτύου. -
CVE-2024-24699
: Ένα σφάλμα επιχειρησιακής λογικής στη λειτουργία συνομιλίας εντός συνάντησης του Zoom μπορεί να οδηγήσει σε αποκάλυψη πληροφοριών μέσω του δικτύου. -
CVE-2024-24690
: Η ευπάθεια σε ορισμένα προγράμματα-πελάτες Zoom που προκαλείται από ακατάλληλη επικύρωση εισόδου μπορεί να προκαλέσει άρνηση παροχής υπηρεσιών μέσω του δικτύου. -
CVE-2024-24698
: Λάθος ακατάλληλου ελέγχου ταυτότητας σε ορισμένα προγράμματα-πελάτες Zoom επιτρέπει την αποκάλυψη πληροφοριών μέσω τοπικής πρόσβασης από προνομιούχους χρήστες.
Οι χρήστες του Zoom θα πρέπει να εφαρμόσουν την ενημέρωση ασφαλείας το συντομότερο δυνατό για να μειώσουν την πιθανότητα εξωτερικών παραγόντων να ανυψώσουν τα προνόμιά τους σε επίπεδο που τους επιτρέπει να κλέβουν ευαίσθητα δεδομένα, να διακόπτουν ή να κρυφακούουν συσκέψεις και να εγκαθιστούν κερκόπορτες.
VIA:
bleepingcomputer.com
