2019-1379: Zoom: Mehrere Schwachstellen ermöglichen u. a. das Ausspähen von Informationen

Historie:

Version 1 (2019-07-09 17:51)

Neues Advisory

Version 2 (2019-07-10 13:32)

Der Hersteller hat die neue Version 4.4.53932.0709 als Update zur Verfügung gestellt, durch welche der lokale Webserver auf macOS nicht mehr verwendet und komplett deinstalliert wird. Alternativ können die Zoom Desktop-Anwendung und alle ihre Komponenten über das Einstellungsmenü deinstalliert werden.

Version 3 (2019-07-12 18:00)

Der Zoom Client vor Version 4.4.2 auf macOS ist von einer weiteren Schwachstelle (CVE-2019-13567) betroffen, welche einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes ermöglicht. Diese Schwachstelle lässt sich gerade dann ausnutzen, wenn der Zoom Client etwa deinstalliert wurde, der Zoom Webserver aber weiterhin auf dem Client-System läuft. Es ist darum dringend angeraten sich zu vergewissern, dass das neueste Update des Zoom Clients installiert ist (siehe vorheriges Update) bzw. der Webserver dauerhaft abgeschaltet oder entfernt wurde (siehe Workaround bzw. aktiviertes Apple Malware Removal Tool (MRT) mit aktuellster Konfiguration).

Betroffene Software

Office

Betroffene Plattformen

Apple
Microsoft

Beschreibung:

Zwei Schwachstellen in Zoom ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen und die Durchführung von Denial-of-Service (DoS)-Angriffen.

Die Schwachstelle CVE-2019–13449 (Denial-of-Service, DoS) wurde mit Zoom Client Version 4.4.2 behoben. Die andere Schwachstelle (CVE-2019-13450) ist bislang nicht behoben und kann auch nicht durch eine Deinstallation allein gelöst werden, sondern erfordert weitere Schritte zur Mitigation. Entweder muss in den Einstellungen deaktiviert werden, dass Zoom die Webcam automatisch einschalten kann, sobald man an einem Meeting teilnimmt oder der Webserver muss abgeschaltet und außerdem verhindert werden, dass dieser nach Updates wiederhergestellt wird.

Schwachstellen:

CVE-2019-13449

Schwachstelle in Zoom ermöglicht Denial-of-Service-Angriff

CVE-2019-13450

Schwachstelle in Zoom ermöglicht Ausspähen von Informationen

CVE-2019-13567

Schwachstelle in Zoom ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.