
Zoom weist einige Sicherheitslücken auf. (Foto: Shutterstock / Girts Ragelis)
Bei Zoom wurden einige Sicherheitslücken entdeckt, die Daten von PCs und Unternehmen gefährden könnten. Insgesamt weist der Entwickler auf fünf neue Sicherheitslücken hin, von denen zwei mit dem Sicherheitsrisiko „hoch“ markiert sind und drei mit einem mittleren Gefährdungsrisiko.
Betroffen ist Zoom für Android, iOS, Linux, macOS und Windows vor der Version 5.13.5 sowie Zoom Rooms vor der Version 5.13.5 und Zoom VDI Windows Meeting vor der Version 5.13.10.
Ein Update der entsprechenden Versionen lohnt sich also, da ihr dann nicht mehr den neu entdeckten Sicherheitslücken ausgesetzt seid.
Diese Sicherheitslücken sind bekannt
Mit dem Windows-Client für IT-Administratoren konnten diese in den älteren Versionen ihre eigenen Rechte im System ausweiten. Das könnten Hacker ausnutzen, um sich selbst entsprechende Rechte zu geben und so tiefer in das System einzudringen. Zoom stuft diese Lücke als hohes Sicherheitsrisiko ein.
Das gleiche Problem besteht für macOS-Clients. Hier stuft Zoom das Sicherheitsrisiko allerdings nur als mittelmäßig ein.
Die zweite Lücke mit hohem Sicherheitsrisiko ist etwas komplizierter. Sie betrifft das Speichern einer lokalen Aufnahme an einem SMB-Speicherort. Wird diese mittels Link aus einem Zoom-Webportal geöffnet, können Angreifer aus angrenzenden Netzwerken mittels einer Anfrage von einem bösartigen SMB-Server dem Opfer eine ausführbare Datei unterschmuggeln. Diese wiederum kann Code der Hacker remote ausführen.
2 weitere Lücken bringen mittlere Gefahrenstufe
Ein Komponentenupdate für die Microsoft-Edge-Webview2-Komponente hat alle Zoom-Clients verwundbar für ein Informationsleck gemacht. Diese hat Texte direkt an Microsofts Rechtschreibprüfung gesendet, anstatt die eigenen lokalen Prüfer zu nutzen. Deshalb ist die Prüffunktion momentan deaktiviert.
Zoom-Clients vor Version 5.13.5 enthalten eine sogenannte STUN-Parsing-Schwachstelle. Angreifer können speziell dafür vorbereiteten UDP-Datenverkehr an den Zoom-Client schicken und diesen durch Denial-of-Service zum Absturz bringen.
Updates auf die jeweils neuesten Versionen der Zoom-Installationen sollten diesen Lücken schließen, weshalb ihr prüfen solltet, ob ihr momentan die aktuelle Version nutzt.