Cybernews

Cyberekspert

Kampanie

Sklep

Menu dostępności

Poważne luki zabezpieczeń w zoom

Łatajcie Zooma!

Kapitan Hack / Cybernews / Łatajcie Zooma!

Zoom, znana aplikacja do przesyłania wiadomości wideo, wydała łatki usuwające wiele luk w zabezpieczeniach. Poprawki są obowiązkowe zarówno dla użytkowników systemów Windows, jak i macOS.

Autor: 3 min czytania

Luki w zabezpieczeniach dotyczą produktu Zoom Rooms, przeznaczonego dla przedsiębiorstw. Mogą zostać wykorzystane w atakach polegających na eskalacji uprawnień na wszystkich popularnych platformach.

Jest to pierwsza partia łatek na 2023 rok. Obejmuje poprawki trzech luk „o dużej wadze” w Zoom Rooms dla instalatorów Windows, Zoom Rooms dla klientów Windows i Zoom Rooms dla klientów macOS.

Oto jak Zoom dokumentuje problemy wysokiego ryzyka:

  • CVE-2022-36930 — lokalna eskalacja uprawnień w Zoom Rooms dla instalatorów systemu Windows (CVSS 8.2/10) — Zoom Rooms dla instalatorów systemu Windows przed wersją 5.13.0 zawiera lukę umożliwiającą lokalne zwiększenie uprawnień. Lokalny użytkownik o niskich uprawnieniach może wykorzystać tę lukę w łańcuchu ataków, aby przekazać swoje uprawnienia użytkownikowi SYSTEM.
  • CVE-2022-36929 — lokalna eskalacja uprawnień w Zoom Rooms dla klientów Windows (CVSS 7.8/10) — Zoom Rooms dla klientów Windows przed wersją 5.12.7 zawiera lukę umożliwiającą lokalne zwiększenie uprawnień. Lokalny użytkownik o niskich uprawnieniach może wykorzystać tę lukę w łańcuchu ataków, aby przekazać swoje uprawnienia użytkownikowi SYSTEM.
  • CVE-2022-36927 — lokalna eskalacja uprawnień w Zoom Rooms dla klientów macOS (CVSS 8.8/10) — Zoom Rooms dla klientów macOS przed wersją 5.11.3 zawierają lukę w zabezpieczeniach umożliwiającą lokalne zwiększenie uprawnień. Lokalny użytkownik o niskich uprawnieniach może wykorzystać tę lukę, aby zwiększyć swoje uprawnienia do uprawnień roota.

Zoom wydał również poprawki dla pary błędów średniej wagi w Zoom Rooms dla klientów macOS przed wersją 5.11.4, ostrzegając, że ta wersja oprogramowania zawiera niezabezpieczony mechanizm generowania kluczy.

„Klucz szyfrowania używany do IPC między usługą demona Zoom Rooms a klientem Zoom Rooms został wygenerowany przy użyciu parametrów, które można uzyskać za pomocą lokalnej aplikacji o niskich uprawnieniach. Klucz ten może być następnie użyty do interakcji z usługą demona w celu wykonania uprzywilejowanych funkcji i spowodowania lokalnej odmowy usługi”.

Zoom naprawił również lukę w zabezpieczeniach związaną z przechodzeniem ścieżki w programie dla klientów Androida, ostrzegając, że aplikacja innej firmy może wykorzystać tę lukę do odczytu i zapisu w katalogu danych aplikacji Zoom. O błędach w Zoomie pisaliśmy wielokrotnie, ostatni raz pół roku temu.

Popularne

Pierwszy Patch Tuesday w 2026 roku – Microsoft łata 114 podatności w Windows, w tym atakowany zero-day

Pierwszy Patch Tuesday w 2026 roku – Microsoft łata 114 podatności w Windows, w tym atakowany zero-day

Wczoraj Microsoft udostępnił pierwszą dużą porcję aktualizacji zabezpieczeń Patch Tuesday, w ramach której poprawiono 114 podatności w systemach Windows i powiązanych komponentach. Wśród nich znajduje si...
3 min czytania 15 sty 2026 06:57
Remote Desktop Puzzle Attack. Jak trwałe buforowanie map bitowych w RDP może stać się narzędziem ataku

Remote Desktop Puzzle Attack. Jak trwałe buforowanie map bitowych w RDP może stać się narzędziem ataku

Zdalny pulpit (RDP) od lat jest jednym z kluczowych mechanizmów administracji systemami Windows. W środowiskach korporacyjnych, rządowych i wojskowych stanowi fundament pracy zdalnej oraz utrzymania in...
8 min czytania 18 gru 2025 08:11
Backdoor w Active Directory? Część 2 – ograniczone delegowanie uprawnień i przejęcie domeny

Backdoor w Active Directory? Część 2 – ograniczone delegowanie uprawnień i przejęcie domeny

W dzisiejszym, kolejnym z serii artykułów z kampanii „Active Directory Persistence” pokażemy w jaki sposób można ukryć w AD konto użytkownika ze specjalnie skonfigurowanymi atrybutami, które pozwolą w p...
12 min czytania 27 lip 2020 14:53
Krytyczna luka w AIX. Zdalni atakujący mogą przejąć kontrolę nad serwerami IBM

Krytyczna luka w AIX. Zdalni atakujący mogą przejąć kontrolę nad serwerami IBM

Najnowsze biuletyny bezpieczeństwa IBM ujawniły poważne luki w systemie AIX (oraz VIOS), które mogą zostać wykorzystane przez zdalnych atakujących do wykonania nieautoryzowanych poleceń, odczytania kluczy...
5 min czytania 19 lis 2025 08:16
Microsoft wprowadza komendę „sudo” na Windows 11

Microsoft wprowadza komendę „sudo” na Windows 11

Kilka dni temu Microsoft oficjalnie ogłosił wydanie  polecenia „sudo” dla systemu Windows. Na razie opcja ta dostępna będzie tylko w wersji Windows 11 Insider Preview Build 26052. Sudo dla Windows to nowy...
4 min czytania 14 lut 2024 08:18
Popularne
Pierwszy Patch Tuesday w 2026 roku – Microsoft łata 114 podatności w Windows, w tym atakowany zero-day
Remote Desktop Puzzle Attack. Jak trwałe buforowanie map bitowych w RDP może stać się narzędziem ataku
Backdoor w Active Directory? Część 2 – ograniczone delegowanie uprawnień i przejęcie domeny
Krytyczna luka w AIX. Zdalni atakujący mogą przejąć kontrolę nad serwerami IBM
Microsoft wprowadza komendę „sudo” na Windows 11
Appeal

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.