Разработчики Zoom выпустили исправления для семи уязвимостей в своих десктопных и мобильных приложениях, включая критическую ошибку в Windows-клиенте.
Критическая ошибка, получившая идентификатор CVE-2024-24691 (9,6 баллов по шкале CVSS), описывается как некорректная проверка вводимых данных, которая может помочь аутентифицированному злоумышленнику повысить свои привилегии.
Сообщается, что проблема затрагивает следующие версии продукта:
- Zoom Desktop для Windows до версии 5.16.5;
- Zoom VDI для Windows до версии 5.16.10 (за исключением версий 5.14.14 и 5.15.12);
- Zoom Rooms для Windows до версии 5.17.0;
- Zoom Meeting SDK для Windows до версии 5.16.5.
Хотя в описании уязвимости не указано, как именно ее можно эксплуатировать, судя по всему, проблема требует некоторого взаимодействия с пользователем: клик по ссылке, открытие вложения или выполнение какого-либо другого действия.
В большинстве случаем Zoom предложит обновиться до последней версии автоматически. Но исправленную версию 5.17.7 для Windows можно загрузить и вручную.
Помимо критической уязвимости в последней версии Zoom также устранены еще шесть других ошибок.
- CVE-2024-24697: уязвимость в 32-битных клиентах Zoom для Windows позволяет повысить привилегии за счет локального доступа, используя недоверенный поисковый путь;
- CVE-2024-24696: уязвимость чата в Windows-клиентах Zoom, вызванная некорректной проверкой вводимых данных, допускает раскрытие информации;
- CVE-2024-24695: аналогично CVE-2024-24696, неправильная проверка вводимых данных в клиентах Zoom для Windows допускает раскрытие информации;
- CVE-2024-24699: еще одна проблема чата, которая может привести к раскрытию информации;
- CVE-2024-24690: уязвимость, связанная с некорректной проверкой вводимых данных в некоторых клиентах Zoom, может привести к отказу в обслуживании;
- CVE-2024-24698: проблема некорректной аутентификации в некоторых клиентах Zoom допускает раскрытие информации через локальный доступ для привилегированных пользователей.
