Af Eskil Sørensen, 19/10/22
Zoom har udrullet en patch til macOS-brugere sammen med en advarsel om, at angribere kan misbruge softwarefejlen til at oprette forbindelse til og kontrollere Zoom Apps.
Det skriver Security Week og Security Affairs på baggrund af en sikkerhedsbulletin fra Zoom.
Der er noteret to sårbarheder med hver sit id-nummer, hhv. CVE-2022-28762 og CVE-2022-28761. Den første har en en CVSS-score på 7,3 og påvirker Zoom Client for Meetings til macOS (Standard og for IT Admin) fra og med 5.10.6 og før 5.12.0. Det er Zooms interne sikkerhedsteam, der har fundet problemet som er opgjort til at være en fejlkonfiguration af debugging-porten, der åbnes af Zoom-klienten på macOS-maskiner. En lokal ondsindet bruger kunne bruge denne fejl til at oprette forbindelse til og styre de Zoom-apps, der kører i Zoom-klienten.
Den anden fejl, CVE-2022-28761, har en score på 6,5 og gør det muligt for en ondsindet aktør i et møde eller webinar at forhindre deltagere i at modtage lyd og video.
Brugere opfordres til implementere de aktuelle opdateringer eller downloade den nyeste Zoom-software med alle aktuelle sikkerhedsopdateringer fra https://zoom.us/download.
Links:
https://www.securityweek.com/zoom-macos-contains-high-risk-security-flaw
https://securityaffairs.co/wordpress/137266/security/zoom-macos-cve-2022-28762.html
https://explore.zoom.us/en/trust/security/security-bulletin/