Tilkynnt var um alvarlegan veikleika í Zoom fyrir Windows, sem gerir óauðkenndum árásarmönnum kleift að hækka réttindi sín. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.
CVE-2024-24691
Veikleikinn CVE-2024-24691 var uppgötvaður af árásarvarnarteymi Zoom og hefur fengið 9.6 í CVSS v3.1 einkunn. Veikleikinn felur í sér ófullnægjandi inntakssannprófun (e. improper input validation) sem leyfir óauðkenndum árásaraðilum að framkvæma réttindahækkun yfir netið. Það er bent á að notendaaðgerð (e. user interaction) sé þörf til að misnota veikleikann, t.d. með því að smella á hlekk, opna viðhengi skilaboða eða framkvæma aðra aðgerð sem árásaraðilar gætu nýtt sér [1,2].
Eftirfarandi kerfi eru veik fyrir gallanum:
Zoom Desktop Client fyrir Windows: < 5.16.5
Zoom VDI Client fyrir Windows: < 5.16.10 (fyrir utan 5.14.14 og 5.15.12)
Zoom Rooms Client fyrir Windows: < 5.17.0
Zoom Meeting SDK fyrir Windows: < 5.16.5
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
Zoom Desktop Client fyrir Windows: >= 5.16.5
Zoom VDI Client fyrir Windows: >= 5.16.10 (fyrir utan 5.14.14 og 5.15.12)
Zoom Rooms Client fyrir Windows: >= 5.17.0
Zoom Meeting SDK fyrir Windows: >= 5.16.5
Tilvísanir
[1] https://www.zoom.com/en/trust/security-bulletin/ZSB-24008/
[2] https://www.bleepingcomputer.com/news/security/zoom-patches-critical-privilege-elevation-flaw-in-windows-apps/