Zoom Rooms: Sicherheitslücken unter Windows, macOS und Android geschlossen

Zum 6. Januar 2023 haben die Entwicklerinnen und Entwickler von Zoom fünf neue Security Bulletins in der offiziellen Dokumentation aufgenommen. Insgesamt sechs Sicherheitslücken werden in Zoom Rooms für Windows sowie macOs geschlossen, bei denen die meisten ein Erschleichen höherer Rechte ermöglichen. Eine der Lücken betrifft auch Nutzende auf Android-Geräten.

Der Windows Installer für Zoom Rooms hat in der Version vor 5.13.0 Angreifern die Möglichkeit geboten, mit einem eingeschränkt berechtigten Account Systemrechte zu erlangen (CVE-2022-36930). Über die eingebaute Update-Routine oder einen neuen Download auf der offiziellen Webseite https://zoom.us/download können Sie diese Lücke wie auch die folgenden schließen. Mit einer installierten Windows-Version von Zoom Rooms war dasselbe möglich (CVE-2022-36929), in dem Fall schon seit Version 5.12.7.

Dieselbe Lücke beziehungsweise dasselbe Risiko bestand in Zoom Rooms für macOS, wenn die Versionsnummer älter als 5.11.3 war. Damit konnten Angreifer sich Root-Rechte erschleichen. Die Lücken werden unter CVE-2022-36926 und CVE-2022-36927 zusammengefasst. Für die bisher genannten Punkte gilt die Dringlichkeit: hoch!

Ist die Version von Zoom Rooms für macOS älter als 5.11.4, konnten erzeugte Sicherheitsschlüssel bei Verbindungen abgefangen werden (CVE-2022-36925). Damit konnten Angreifer lokal für „Denial of Service“-Zustände sorgen. Diese Lücke wird im Gegensatz zu den bisherigen mit der Gefahrenstufe „mittel“ eingestuft.

Zuletzt wurde die Android-Version von Zoom auf 5.13.0 aktualisiert. Über eine Sicherheitslücke konnten Dritthersteller-Apps unerlaubt Anwendungsdaten der Zoom-App manipulieren (CVE-2022-36928). Auch hier gilt die Gefahrenstufe „mittel“. Weitere Informationen zu den Zoom-Lücken lesen Sie beim Hersteller.