Cybernews

Cyberekspert

Kampanie

Sklep

Menu dostępności

Poważne luki zabezpieczeń w zoom

Łatajcie Zooma!

Kapitan Hack / Cybernews / Łatajcie Zooma!

Zoom, znana aplikacja do przesyłania wiadomości wideo, wydała łatki usuwające wiele luk w zabezpieczeniach. Poprawki są obowiązkowe zarówno dla użytkowników systemów Windows, jak i macOS.

Autor: 3 min czytania

Luki w zabezpieczeniach dotyczą produktu Zoom Rooms, przeznaczonego dla przedsiębiorstw. Mogą zostać wykorzystane w atakach polegających na eskalacji uprawnień na wszystkich popularnych platformach.

Jest to pierwsza partia łatek na 2023 rok. Obejmuje poprawki trzech luk „o dużej wadze” w Zoom Rooms dla instalatorów Windows, Zoom Rooms dla klientów Windows i Zoom Rooms dla klientów macOS.

Oto jak Zoom dokumentuje problemy wysokiego ryzyka:

  • CVE-2022-36930 — lokalna eskalacja uprawnień w Zoom Rooms dla instalatorów systemu Windows (CVSS 8.2/10) — Zoom Rooms dla instalatorów systemu Windows przed wersją 5.13.0 zawiera lukę umożliwiającą lokalne zwiększenie uprawnień. Lokalny użytkownik o niskich uprawnieniach może wykorzystać tę lukę w łańcuchu ataków, aby przekazać swoje uprawnienia użytkownikowi SYSTEM.
  • CVE-2022-36929 — lokalna eskalacja uprawnień w Zoom Rooms dla klientów Windows (CVSS 7.8/10) — Zoom Rooms dla klientów Windows przed wersją 5.12.7 zawiera lukę umożliwiającą lokalne zwiększenie uprawnień. Lokalny użytkownik o niskich uprawnieniach może wykorzystać tę lukę w łańcuchu ataków, aby przekazać swoje uprawnienia użytkownikowi SYSTEM.
  • CVE-2022-36927 — lokalna eskalacja uprawnień w Zoom Rooms dla klientów macOS (CVSS 8.8/10) — Zoom Rooms dla klientów macOS przed wersją 5.11.3 zawierają lukę w zabezpieczeniach umożliwiającą lokalne zwiększenie uprawnień. Lokalny użytkownik o niskich uprawnieniach może wykorzystać tę lukę, aby zwiększyć swoje uprawnienia do uprawnień roota.

Zoom wydał również poprawki dla pary błędów średniej wagi w Zoom Rooms dla klientów macOS przed wersją 5.11.4, ostrzegając, że ta wersja oprogramowania zawiera niezabezpieczony mechanizm generowania kluczy.

„Klucz szyfrowania używany do IPC między usługą demona Zoom Rooms a klientem Zoom Rooms został wygenerowany przy użyciu parametrów, które można uzyskać za pomocą lokalnej aplikacji o niskich uprawnieniach. Klucz ten może być następnie użyty do interakcji z usługą demona w celu wykonania uprzywilejowanych funkcji i spowodowania lokalnej odmowy usługi”.

Zoom naprawił również lukę w zabezpieczeniach związaną z przechodzeniem ścieżki w programie dla klientów Androida, ostrzegając, że aplikacja innej firmy może wykorzystać tę lukę do odczytu i zapisu w katalogu danych aplikacji Zoom. O błędach w Zoomie pisaliśmy wielokrotnie, ostatni raz pół roku temu.

Popularne

Alarm dla administratorów i działów bezpieczeństwa – krytyczna luka CVE-2025-59287 w Windows Server Update Services wykorzystywana przez cyberprzestępców! Zabezpiecz się, zanim Twoja infrastruktura padnie ofiarą ataku

Alarm dla administratorów i działów bezpieczeństwa – krytyczna luka CVE-2025-59287 w Windows Server Update Services wykorzystywana przez cyberprzestępców! Zabezpiecz się, zanim Twoja infrastruktura padnie ofiarą ataku

Pojawiła się groźna luka, oznaczona jako CVE-2025-59287, pozwalająca atakującym na zdalne wykonanie kodu w systemach z rolą Windows Server Update Services („WSUS”). Co gorsza, został już udostępniony publiczny ex...
5 min czytania 27 paź 2025 08:00
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jeśli masz odrobinę szczęścia lub „odpowiednie umiejętności” i potrafisz zdobyć lokalne uprawnienia administracyjne na Twoim komputerze w firmie lub zaliczasz się do grona tych szczęściarzy, którzy pracuj...
10 min czytania 20 sty 2020 12:00
Nowo odkryte podatności w ChatGPT pozwalają przekonać chatbota do ujawnienia wrażliwych danych

Nowo odkryte podatności w ChatGPT pozwalają przekonać chatbota do ujawnienia wrażliwych danych

Najnowsze badania firmy Tenable ujawniają zestaw co najmniej siedmiu poważnych podatności w modelach AI GPT‑4o i GPT‑5, wykorzystywanych przez ChatGPT, które umożliwiają złośliwym podmiotom przejęcie k...
5 min czytania wczoraj
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...
5 min czytania 5 cze 2019 08:00
Cicha persystencja – jak rosyjskie kampanie APT atakują firmy w Ukrainie. Porady dla działów bezpieczeństwa

Cicha persystencja – jak rosyjskie kampanie APT atakują firmy w Ukrainie. Porady dla działów bezpieczeństwa

W ostatnich miesiącach coraz mocniej zintensyfikowane działania cybernetyczne skierowane przez podmioty powiązane z Rosją na instytucje ukraińskie rzucają nowe światło na metody rozgrywania współczesnego konfliktu...
5 min czytania 31 paź 2025 08:00
Popularne
Alarm dla administratorów i działów bezpieczeństwa – krytyczna luka CVE-2025-59287 w Windows Server Update Services wykorzystywana przez cyberprzestępców! Zabezpiecz się, zanim Twoja infrastruktura padnie ofiarą ataku
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?
Nowo odkryte podatności w ChatGPT pozwalają przekonać chatbota do ujawnienia wrażliwych danych
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?
Cicha persystencja – jak rosyjskie kampanie APT atakują firmy w Ukrainie. Porady dla działów bezpieczeństwa
Appeal

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.