EN

Alvarlegir veikleikar í Zoom hugbúnaði


Tilkynnt var um alvarlegan veikleika í Zoom fyrir Windows, sem gerir óauðkenndum árásarmönnum kleift að hækka réttindi sín. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.

CVE-2024-24691

Veikleikinn CVE-2024-24691 var uppgötvaður af árásarvarnarteymi Zoom og hefur fengið 9.6 í CVSS v3.1 einkunn. Veikleikinn felur í sér ófullnægjandi inntakssannprófun (e. improper input validation) sem leyfir óauðkenndum árásaraðilum að framkvæma réttindahækkun yfir netið. Það er bent á að notendaaðgerð (e. user interaction) sé þörf til að misnota veikleikann, t.d. með því að smella á hlekk, opna viðhengi skilaboða eða framkvæma aðra aðgerð sem árásaraðilar gætu nýtt sér [1,2].

Eftirfarandi kerfi eru veik fyrir gallanum:

Zoom Desktop Client fyrir Windows: < 5.16.5
Zoom VDI Client fyrir Windows: < 5.16.10 (fyrir utan 5.14.14 og 5.15.12)
Zoom Rooms Client fyrir Windows: < 5.17.0
Zoom Meeting SDK fyrir Windows: < 5.16.5

Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:

Zoom Desktop Client fyrir Windows: >= 5.16.5
Zoom VDI Client fyrir Windows: >= 5.16.10 (fyrir utan 5.14.14 og 5.15.12)
Zoom Rooms Client fyrir Windows: >= 5.17.0
Zoom Meeting SDK fyrir Windows: >= 5.16.5

Tilvísanir

[1] https://www.zoom.com/en/trust/security-bulletin/ZSB-24008/
[2] https://www.bleepingcomputer.com/news/security/zoom-patches-critical-privilege-elevation-flaw-in-windows-apps/

Scroll to Top