Zoom comble les failles de sécurité de plusieurs produits et clients

Des failles de sécurité ont été découvertes dans certains programmes du service de vidéoconférence Zoom. Le fabricant est en train de les fermer avec de nouvelles versions du programme.

La vulnérabilité la plus sérieuse avec une sévérité élevée (CVE-2021-34417, CVSS 7.9) a été trouvée dans la page du proxy réseau du portail web de Zoom On-Premise Meeting Connector Controller, Meeting Connector MMR, Recording Connector, Virtual Room Connector et Virtual Room Connector Load Balancer, qui peuvent être installés dans le réseau local. Les données transmises comme mot de passe du proxy réseau n’ont pas été correctement vérifiées et auraient pu être utilisées par un administrateur de portail web pour injecter des commandes à distance – exécutées en tant que root.

Une vulnérabilité à risque moyen (CVE-2021-34418, CVSS 4.0) a également été découverte dans les mêmes programmes, qui pourrait conduire à un plantage du service de connexion. Il manquait une vérification pour savoir si un octet NULL, qui marque généralement la fin d’une chaîne de caractères, était également envoyé lors de la connexion. Les détails et les numéros de version exacts peuvent être trouvés sur la page du bulletin de sécurité de Zoom.

Autres lacunes et mises à jour

Le programme d’installation Windows de Zoom Client for Meetings ne vérifie pas correctement les signatures numériques des fichiers portant les extensions .msi, .ps1 et .bat (CVE-2021-34420, CVSS 4.7). Le programme d’installation décompose ces fichiers et les utilise pour installer le logiciel. Selon le rapport, la faille aurait pu permettre aux attaquants d’installer des logiciels malveillants et manipulés.

Dans la version Linux de Zoom Client for Meetings, les attaquants peuvent envoyer une demande de contrôle à distance usurpée pendant une session de partage d’écran qui exploite une faille d’injection HTML (CVE-2021-34419, CVSS 3.7). Cela aurait rendu les participants à une telle session vulnérables aux attaques d’ingénierie sociale.

Des paquets logiciels mis à jour sont disponibles pour toutes les vulnérabilités signalées. Le logiciel du serveur ne peut pas être téléchargé publiquement, mais le fabricant donne la liste des clients sur la page de téléchargement. Les administrateurs et les utilisateurs doivent installer ces mises à jour à la prochaine occasion.

Zoom comble les failles de sécurité de plusieurs produits et clients

Autres lacunes et mises à jour

Plus d'articles

L’intelligence artificielle fait des banques les moteurs du changement

Les jumeaux numériques en tant que catalyseur de transformation des modèles d’affaires

Que signifie ChatGPT pour l’interface client des banques de demain?

Intelligence Artificielle dans le Financement de la Construction

Comment la recherche de fonds peut relier les banques et les petites et moyennes entreprises.

Comment les écosystèmes numériques révolutionnent la banque d’affaires

Les plus lues

Encodage des petits-escroqueries : les criminels essaient maintenant aussi via WhatsApp

iOS: 12 applications gratuites ou réduites pour iPhone et iPad

WhatsApp : arnaque actuelle par le message de code

Sujet du moment