Zoom ujawnił niedawno szereg podatności w zabezpieczeniach dotyczących jego pakietu aplikacji, w tym krytyczną lukę umożliwiającą atakującym zdalne wykonanie kodu. Zidentyfikowane luki w zabezpieczeniach, oznaczone numerami CVE (Common Vulnerabilities and Exposures), mają różne poziomy ważności, od średniego do wysokiego, i dotyczą wielu produktów Zoom na różnych platformach.
Szczegóły techniczne i krytyczne luki w zabezpieczeniach
Najpoważniejsza luka w zabezpieczeniach, CVE-2024-45421, to przypadek przepełnienia bufora pamięci w systemie. Przypisano jej wysoki wskaźnik CVSS, wynoszący 8,5. Luka ta może pozwolić uwierzytelnionemu użytkownikowi na eskalację uprawnień za pośrednictwem dostępu sieciowego, co potencjalnie umożliwia zdalne wykonanie kodu w systemie ofiary. Problem dotyczy szerokiej gamy produktów Zoom, w tym:
- Zoom Workplace,
- Zoom Rooms Client,
- Video SDK,
- Meeting SDK.
Podatności są obecne na platformach Windows, macOS, iOS, Android oraz Linux. Luka wynika z nieodpowiedniego zarządzania pamięcią w aplikacji, gdzie nadmiarowe dane mogą być zapisane poza przydzielonymi granicami bufora, co umożliwia atakującemu wykonanie złośliwego kodu.
Inna luka o wysokim stopniu ważności – CVE-2024-45419
Związana jest z nieprawidłową walidacją danych wejściowych i otrzymała wynik CVSS na poziomie 8,1. Potencjalnie umożliwia niezautoryzowanemu użytkownikowi ujawnienie poufnych informacji poprzez manipulacje w warstwie dostępu sieciowego. Problem ten dotyczy m.in. Zoom Video SDK oraz Zoom Meeting SDK.
Atakujący mogą wykorzystać luki poprzez przesłanie specjalnie spreparowanych danych do aplikacji, co prowadzi do ujawnienia wrażliwych informacji lub uzyskania nieautoryzowanego dostępu.
Inne luki w Zoom
Ujawniono również kilka innych luk w zabezpieczeniach:
- CVE-2024-45422: problem z nieprawidłową walidacją danych wejściowych, który może prowadzić do ataków typu „odmowa usługi” (DoS).
- CVE-2024-45420: luka umożliwiająca niekontrolowane zużycie zasobów, co może skutkować odmową usługi.
- CVE-2024-45418: luka związana z symbolicznym łączem w instalatorach systemu macOS.
- CVE-2024-45417: niekontrolowane zużycie zasobów w instalatorach systemu macOS, które może prowadzić do ujawnienia poufnych informacji.
Działania zaradcze i zalecenia
Zoom wydał odpowiednie poprawki bezpieczeństwa dla swoich aplikacji (można pobrać je ze strony zoom[.]us/download), które użytkownicy powinni jak najszybciej zainstalować, aby zminimalizować ryzyko potencjalnych ataków. Zaleca się również regularne aktualizowanie systemu oraz stosowanie najlepszych praktyk zabezpieczeń, takich jak ograniczenie dostępu do zaufanych użytkowników i monitorowanie nietypowej aktywności w sieci.
Dzięki odpowiedniej reakcji na luki w zabezpieczeniach organizacje mogą zredukować ryzyko wykorzystania tych podatności i utrzymać bezpieczeństwo swoich systemów oraz danych.
