Zoom dichtet Sicherheitslücken in mehreren Produkten und Clients ab

In einigen Programmen des Videokonferenzdienstes Zoom wurden Sicherheitslücken gefunden. Der Hersteller schließt diese mit neuen Programmversionen.

Die gravierendste Schwachstelle mit hohem Schweregrad (CVE-2021-34417, CVSS 7.9) fand sich in der Netzwerk-Proxy-Seite des Webportals der im lokalen Netz installierbaren Zoom On-Premise Meeting Connector Controller, Meeting Connector MMR, Recording Connector, Virtual Room Connector und Virtual Room Connector Load Balancer. Die als Netzwerk-Proxy-Passwort übergebenen Daten wurden nicht korrekt überprüft und hätten von einem Webportal-Administrator zum Einschleusen von Befehlen aus der Ferne – ausgeführt als root – missbraucht werden können.

In denselben Programmen fand sich auch eine Lücke mit mittlerem Risiko (CVE-2021-34418, CVSS 4.0), die zu einem Absturz des Login-Dienstes führen könnte. Es fehlte eine Prüfung, ob bei der Anmeldung auch ein NULL-Byte gesendet wurde, das typischerweise das Ende einer Zeichenkette markiert. Details und genaue Versionsnummern finden sich auf der Zoom Security-Bulletin-Seite.

Quelle: Zoom dichtet Sicherheitslücken in mehreren Produkten und Clients ab | heise online