Cybernews

Cyberekspert

Kampanie

Sklep

Menu dostępności

Poważne luki zabezpieczeń w zoom

Łatajcie Zooma!

Kapitan Hack / Cybernews / Łatajcie Zooma!

Zoom, znana aplikacja do przesyłania wiadomości wideo, wydała łatki usuwające wiele luk w zabezpieczeniach. Poprawki są obowiązkowe zarówno dla użytkowników systemów Windows, jak i macOS.

Autor: 3 min czytania

Luki w zabezpieczeniach dotyczą produktu Zoom Rooms, przeznaczonego dla przedsiębiorstw. Mogą zostać wykorzystane w atakach polegających na eskalacji uprawnień na wszystkich popularnych platformach.

Jest to pierwsza partia łatek na 2023 rok. Obejmuje poprawki trzech luk „o dużej wadze” w Zoom Rooms dla instalatorów Windows, Zoom Rooms dla klientów Windows i Zoom Rooms dla klientów macOS.

Oto jak Zoom dokumentuje problemy wysokiego ryzyka:

  • CVE-2022-36930 — lokalna eskalacja uprawnień w Zoom Rooms dla instalatorów systemu Windows (CVSS 8.2/10) — Zoom Rooms dla instalatorów systemu Windows przed wersją 5.13.0 zawiera lukę umożliwiającą lokalne zwiększenie uprawnień. Lokalny użytkownik o niskich uprawnieniach może wykorzystać tę lukę w łańcuchu ataków, aby przekazać swoje uprawnienia użytkownikowi SYSTEM.
  • CVE-2022-36929 — lokalna eskalacja uprawnień w Zoom Rooms dla klientów Windows (CVSS 7.8/10) — Zoom Rooms dla klientów Windows przed wersją 5.12.7 zawiera lukę umożliwiającą lokalne zwiększenie uprawnień. Lokalny użytkownik o niskich uprawnieniach może wykorzystać tę lukę w łańcuchu ataków, aby przekazać swoje uprawnienia użytkownikowi SYSTEM.
  • CVE-2022-36927 — lokalna eskalacja uprawnień w Zoom Rooms dla klientów macOS (CVSS 8.8/10) — Zoom Rooms dla klientów macOS przed wersją 5.11.3 zawierają lukę w zabezpieczeniach umożliwiającą lokalne zwiększenie uprawnień. Lokalny użytkownik o niskich uprawnieniach może wykorzystać tę lukę, aby zwiększyć swoje uprawnienia do uprawnień roota.

Zoom wydał również poprawki dla pary błędów średniej wagi w Zoom Rooms dla klientów macOS przed wersją 5.11.4, ostrzegając, że ta wersja oprogramowania zawiera niezabezpieczony mechanizm generowania kluczy.

„Klucz szyfrowania używany do IPC między usługą demona Zoom Rooms a klientem Zoom Rooms został wygenerowany przy użyciu parametrów, które można uzyskać za pomocą lokalnej aplikacji o niskich uprawnieniach. Klucz ten może być następnie użyty do interakcji z usługą demona w celu wykonania uprzywilejowanych funkcji i spowodowania lokalnej odmowy usługi”.

Zoom naprawił również lukę w zabezpieczeniach związaną z przechodzeniem ścieżki w programie dla klientów Androida, ostrzegając, że aplikacja innej firmy może wykorzystać tę lukę do odczytu i zapisu w katalogu danych aplikacji Zoom. O błędach w Zoomie pisaliśmy wielokrotnie, ostatni raz pół roku temu.

Popularne

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...
5 min czytania 5 cze 2019 08:00
Kolejny poważny zero-day. Nowe luki omijają BitLockera i pozwalają przejąć uprawnienia SYSTEM

Kolejny poważny zero-day. Nowe luki omijają BitLockera i pozwalają przejąć uprawnienia SYSTEM

Eksperci ds. cyberbezpieczeństwa alarmują o dwóch nowych lukach typu zero-day w systemie Windows, mogących mieć poważne konsekwencje dla bezpieczeństwa użytkowników i firm. Podatności, którym nadano naz...
8 min czytania 15 maj 2026 07:29
Jeszcze o Mythos!

Jeszcze o Mythos!

W bardzo dobrym artykule autorstwa mojego redakcyjnego kolegi możemy znaleźć kompendium wiedzy o Mythos – niedawno ogłoszonym modelu AI od Anthropic. Produkt ten wywołał panikę w branży ze względu na zdolno...
6 min czytania 30 kwi 2026 08:00
YellowKey: koniec mitu o bezpieczeństwie BitLockera? Nowy zero-day pozwala ominąć szyfrowanie przy użyciu zwykłego pendrive’a

YellowKey: koniec mitu o bezpieczeństwie BitLockera? Nowy zero-day pozwala ominąć szyfrowanie przy użyciu zwykłego pendrive’a

Jeszcze w piątek opisywaliśmy nowe podatności typu zero-day, o nazwach YellowKey oraz GreenPlasma, uderzające w mechanizmy bezpieczeństwa systemów Windows. Najnowsze informacje pokazują jednak, że spr...
8 min czytania wczoraj
Czym jest Microsoft Entra Backup and Recovery?

Czym jest Microsoft Entra Backup and Recovery?

Przez długi czas odzyskiwanie zmian w Microsoft Entra opierało się głównie na kilku osobnych mechanizmach: soft-delete dla części obiektów, logach audytowych, eksportach konfiguracji i ręcznym odtwarza...
4 min czytania 28 kwi 2026 08:00
Popularne
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?
Kolejny poważny zero-day. Nowe luki omijają BitLockera i pozwalają przejąć uprawnienia SYSTEM
Jeszcze o Mythos!
YellowKey: koniec mitu o bezpieczeństwie BitLockera? Nowy zero-day pozwala ominąć szyfrowanie przy użyciu zwykłego pendrive’a
Czym jest Microsoft Entra Backup and Recovery?
Appeal

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.