Spoločnosť Zoom oznámila opravy siedmich zraniteľností vo svojich desktopových a mobilných aplikáciách, vrátane kritickej chyby v softvéri Windows.
Kritický problém, sledovaný ako CVE-2024-24691 (CVSS skóre 9,6), je opísaný ako nesprávne overenie vstupu, ktoré by mohlo útočníkovi so sieťovým prístupom umožniť eskalovať privilégiá.
Zoom’s Desktop Client pre Windows pred verziou 5.16.5, VDI Client pre Windows pred verziou 5.16.10 (okrem 5.14.14 a 5.15.12), Rooms Client pre Windows pred verziou 5.17.0 a Meeting SDK pre Windows pred verziou 5.16. 5, uvádza spoločnosť vo svojom poradnom liste.
Spoločnosť na odosielanie video správ tiež vyriešila veľmi závažnú eskaláciu chyby privilégií v týchto aplikáciách Windows, pričom poznamenala, že ju možno zneužiť lokálne bez overovania.
Táto chyba zabezpečenia, sledovaná ako CVE-2024-24697 a opísaná ako problém s nedôveryhodnou cestou vyhľadávania, ovplyvňuje klienta Desktop pred verziou 5.17.0, klienta VDI pred verziou 5.17.5 (okrem 5.15.15 a 5.16.12), Meeting SDK pred verziou 5.17 .0 a klienta izieb pred verziou 5.17.0.
Ďalšie informácie je možné nájsť na stránkach:
https://www.nbu.gov.sk/sk-cert-bezpecnostne-varovanie-v20240216-04
https://www.securityweek.com/zoom-patches-critical-vulnerability-in-windows-applications
https://securityaffairs.com/159121/security/zoom-crirical-cve-2024-24691.html