Zoom, znana aplikacja do przesyłania wiadomości wideo, wydała łatki usuwające wiele luk w zabezpieczeniach. Poprawki są obowiązkowe zarówno dla użytkowników systemów Windows, jak i macOS.
Luki w zabezpieczeniach dotyczą produktu Zoom Rooms, przeznaczonego dla przedsiębiorstw. Mogą zostać wykorzystane w atakach polegających na eskalacji uprawnień na wszystkich popularnych platformach.
Jest to pierwsza partia łatek na 2023 rok. Obejmuje poprawki trzech luk „o dużej wadze” w Zoom Rooms dla instalatorów Windows, Zoom Rooms dla klientów Windows i Zoom Rooms dla klientów macOS.
Oto jak Zoom dokumentuje problemy wysokiego ryzyka:
- CVE-2022-36930 — lokalna eskalacja uprawnień w Zoom Rooms dla instalatorów systemu Windows (CVSS 8.2/10) — Zoom Rooms dla instalatorów systemu Windows przed wersją 5.13.0 zawiera lukę umożliwiającą lokalne zwiększenie uprawnień. Lokalny użytkownik o niskich uprawnieniach może wykorzystać tę lukę w łańcuchu ataków, aby przekazać swoje uprawnienia użytkownikowi SYSTEM.
- CVE-2022-36929 — lokalna eskalacja uprawnień w Zoom Rooms dla klientów Windows (CVSS 7.8/10) — Zoom Rooms dla klientów Windows przed wersją 5.12.7 zawiera lukę umożliwiającą lokalne zwiększenie uprawnień. Lokalny użytkownik o niskich uprawnieniach może wykorzystać tę lukę w łańcuchu ataków, aby przekazać swoje uprawnienia użytkownikowi SYSTEM.
- CVE-2022-36927 — lokalna eskalacja uprawnień w Zoom Rooms dla klientów macOS (CVSS 8.8/10) — Zoom Rooms dla klientów macOS przed wersją 5.11.3 zawierają lukę w zabezpieczeniach umożliwiającą lokalne zwiększenie uprawnień. Lokalny użytkownik o niskich uprawnieniach może wykorzystać tę lukę, aby zwiększyć swoje uprawnienia do uprawnień roota.
Zoom wydał również poprawki dla pary błędów średniej wagi w Zoom Rooms dla klientów macOS przed wersją 5.11.4, ostrzegając, że ta wersja oprogramowania zawiera niezabezpieczony mechanizm generowania kluczy.
„Klucz szyfrowania używany do IPC między usługą demona Zoom Rooms a klientem Zoom Rooms został wygenerowany przy użyciu parametrów, które można uzyskać za pomocą lokalnej aplikacji o niskich uprawnieniach. Klucz ten może być następnie użyty do interakcji z usługą demona w celu wykonania uprzywilejowanych funkcji i spowodowania lokalnej odmowy usługi”.
Zoom naprawił również lukę w zabezpieczeniach związaną z przechodzeniem ścieżki w programie dla klientów Androida, ostrzegając, że aplikacja innej firmy może wykorzystać tę lukę do odczytu i zapisu w katalogu danych aplikacji Zoom. O błędach w Zoomie pisaliśmy wielokrotnie, ostatni raz pół roku temu.