L’éditeur annonce deux failles de sécurité dans son logiciel de conférence Zoom : la fuite présentant le risque le plus élevé s’ouvre en raison d’un débordement de tampon potentiel qui permettrait à un attaquant de faire planter le service ou les applications, voire d’exécuter du code arbitraire. Zoom lui-même attribue à cette faille un niveau de risque « élevé » et calcule un score CVSS de 7,3.

L’autre faille pourrait révéler l’état de la mémoire du processus – et permettre ainsi à des acteurs malveillants de consulter n’importe quelle zone de la mémoire du processus. Les attaquants pourraient ainsi accéder sans autorisation à des informations sensibles. Le fabricant considère cette vulnérabilité comme un risque moyen avec un score CVSS de 5,3.

Versions concernées

De nombreux programmes et services du fabricant sont concernés. Parmi les plus répandus, on trouve le client de réunion Zoom pour Android, Blackberry, Chrome, intune, iOS, Linux, macOS et Windows. De nouvelles versions des connecteurs Zoom OnPremise Meeting et des SDK Zoom Meeting ainsi que de diverses autres applications corrigent également les failles de sécurité.

Les nouveaux bulletins de sécurité sont classés sur la page d’aperçu des messages de sécurité de Zoom. L’entreprise y a dressé une liste détaillée de tous les produits logiciels concernés et de leurs versions. Des paquets mis à jour sont disponibles pour tous. Les utilisateurs trouveront les clients Zoom corrigés ainsi que le contrôleur pour Zoom Rooms sur la page de téléchargement publique. Les autres paquets mis à jour sont disponibles pour les administrateurs via les accès qu’ils connaissent. Les utilisateurs et les administrateurs des solutions de visioconférence devraient les installer rapidement en raison de leur impact potentiel.