Ohne die diversen Meetinglösungen wäre der Job als Webworker heutzutage kaum noch denkbar, denn er spart in der Pandemie so manches echte Meeting. Die Videokonferenzlösungen aus dem Hause Zoom wiesen allerdings Lücken auf, die teilweise ein hohes Risiko darstellten, denn Angreifer konnten darüber sogar Schadcode ausführen.
Zwei Sicherheitslücken in Zoom
Zoom meldete zwei Sicherheitslücken in seiner Konferenz-Software: Das Leck mit dem größten Risiko ergibt sich durch eine Pufferüberlauf, der es den Angreifern ermöglicht, den Dienst oder die Anwendungen zum Absturz zu bringen oder sogar beliebigen Code auszuführen. Zoom selbst bewertet diese Lücke mit dem Risiko “hoch” und errechnet dazu einen CVSS-Score von 7.3.
Die zweite Schwachstelle könnte den Status des Prozessspeichers offenlegen und so bösartigen Akteuren Einsicht in beliebige Speicherbereiche des Prozesses ermöglichen. Dadurch könnten die Angreifer unbefugt an sensible Informationen gelangen. Der Hersteller stuft das als ein mittleres Risiko mit einem CVSS-Score von 5.3 ein.
Die betroffenen Zoom-Versionen
Betroffen sind davon einige Programme und Dienste des Herstellers. Am weitesten verbreitet davon sind unter anderem der Zoom Client für Meetings für Android, Blackberry, Chrome, intune, iOS, Linux, macOS und Windows.
Auch in den Zoom OnPremise Meeting Connectors und den Zoom Meeting SDKs und diversen weiteren Anwendungen schließen die Updates die Sicherheitslücken.
Die neuen Security-Bulletins finden Sie bei den Zoom-Sicherheitsmeldungen/Übersichtsseite. Dort hat Zoom ausführlich alle betroffenen Software-Produkte und Versionsstände aufgelistet, und aktualisierte Pakete stehen für alle bereit.
Die fehlerbereinigten Zoom Clients und den Controller für Zoom Rooms finden Nutzer auf der öffentlichen Download-Seite. Alle anderen aktualisierten Pakete erhalten Administratoren über die ihnen bekannten Zugänge. Wegen der hohen Risikoeinstufung sollten Nutzer und Administratoren der Videokonferenzlösungen sie möglichst schnell einspielen.