Настольные и VDI-клиенты Zoom, а также Meeting SDK для Windows уязвимы к некорректной проверке ввода, которая может позволить злоумышленнику, не прошедшему проверку подлинности, повысить привилегии на целевой системе по сети.
Zoom - популярная облачная служба видеоконференций для корпоративных совещаний, образовательных уроков, социальных встреч и т. д. Он предлагает совместное использование экрана, запись совещаний, пользовательские фоны, чат на совещании и различные функции, направленные на повышение производительности.
Популярность программы возросла во время пандемии COVID-19, когда многие организации обратились к удаленным решениям для поддержания непрерывности работы и бизнеса. К апрелю 2020 года она достигла пика в 300 миллионов ежедневных участников совещаний.
Сайт недавно обнаруженный дефект отслеживается как CVE-2024-24691 и была обнаружена командой специалистов по безопасности Zoom, получив оценку CVSS v3.1 9.6, т.е. "критическая".
Уязвимость затрагивает следующие версии продуктов:
В кратком описании недостатка не указано, как он может быть использован и каковы могут быть последствия, но вектор CVSS указывает, что он требует некоторого взаимодействия с пользователем.
Это может быть нажатие на ссылку, открытие вложения сообщения или выполнение другого действия, которое злоумышленник может использовать для эксплуатации CVE-2024-24691.
Для большинства людей Zoom должен автоматически предлагать пользователям обновиться до последней версии. Однако вы можете вручную загрузить и установить последнюю версию клиента для Windows, версию 5.17.7, отсюда.
Помимо недостатка, связанного с неправильной проверкой ввода, в последней версии Zoom также устранены следующие шесть уязвимостей:
Пользователям Zoom следует как можно скорее применить обновление безопасности, чтобы снизить вероятность того, что внешние лица повысят свои привилегии до уровня, позволяющего им красть конфиденциальные данные, прерывать или подслушивать совещания, а также устанавливать бэкдоры.