Şirket, Zoom web konferans yazılımındaki güvenlik açıklarıyla ilgili toplam on iki güvenlik raporu yayınladı. Geliştiriciler, güvenlikle ilgili hataları güncellenmiş yazılımla düzeltti. BT yöneticileri güncellemeleri hızlı bir şekilde yüklemelidir.
Geliştiriciler, on iki güvenlik açığından altısını yüksek risk, dördünü orta tehdit ve ikisini düşük risk olarak derecelendiriyor. Örneğin, yetersiz hak yönetimi nedeniyle, yerel erişime sahip kullanıcılar haklarını genişletebilir (CVE-2023-34120, CVSS 8.7risk”yüksek“). Ağdan kayıtlı kullanıcılar da bilgilere yetkisiz olarak erişebilir (CVE-2023-34114, CVSS 8.3, yüksek). Web kimliği doğrulanmış saldırganlar, veri doğruluğunun Zoom tarafından yetersiz şekilde doğrulanması nedeniyle ayrıcalıklarını yükseltebilir (CVE-2023-34113, CVSS 8.0, yüksek).
Yakınlaştırma: Birkaç yüksek riskli sızıntı
Zoom VDI yükleyicisi, saldırganların uygun izin olmadan yerel dosyaları silmek için kullanabileceği erişim haklarını düzgün şekilde kontrol etmez (CVE-2023-28603, CVSS 7.7, yüksek). Saldırganlar, bir sohbet başlattıklarında kurbanın Zoom uygulamasını çökertmek için bir HTML yerleştirme güvenlik açığından yararlanabilir (CVE-2023-28598, CVSS 7.5, yüksek). Saldırganlar ayrıca Windows için Zoom yükleyicisindeki bir güvenlik açığını kullanarak ayrıcalıklarını yükseltebilir (CVE-2023-34122, CVSS 7.3, yüksek).
Güvenlik açıkları, macOS için Zoom ve Windows için Zoom 5.14.10 ve sonraki sürümleri, Zoom için Linux, Android ve iOS 5.13.10 ve sonraki sürümleri, Zoom Meeting SDK 5.13.0 ve Windows için Zoom Rooms ve Windows 5.14 için Zoom VDI tarafından kapatılır. 0 veya daha yeni. Bunlar, Zoom indirme sayfasında indirilebilir. Bazı boşluklar yüksek risk oluşturduğundan ve bazen sadece “kritik” derecelendirmeden yoksun olduğundan, Zoom kullanıcılarının kurulu sürümün güncel olup olmadığını hızlı bir şekilde kontrol etmesi gerekir. Zoom, güvenlik açıklarını ve ayrıntıları web’deki bir genel bakış sayfasında listeler.
En son Zoom, Mart ayında aynı adlı yazılımında bazı yüksek riskli güvenlik açıklarını kapatmak zorunda kaldı. Saldırganların kötü amaçlı kod enjekte etmesine ve yürütmesine izin verdiler.
(dmk)
Haberin Sonu
Geliştiriciler, on iki güvenlik açığından altısını yüksek risk, dördünü orta tehdit ve ikisini düşük risk olarak derecelendiriyor. Örneğin, yetersiz hak yönetimi nedeniyle, yerel erişime sahip kullanıcılar haklarını genişletebilir (CVE-2023-34120, CVSS 8.7risk”yüksek“). Ağdan kayıtlı kullanıcılar da bilgilere yetkisiz olarak erişebilir (CVE-2023-34114, CVSS 8.3, yüksek). Web kimliği doğrulanmış saldırganlar, veri doğruluğunun Zoom tarafından yetersiz şekilde doğrulanması nedeniyle ayrıcalıklarını yükseltebilir (CVE-2023-34113, CVSS 8.0, yüksek).
Yakınlaştırma: Birkaç yüksek riskli sızıntı
Zoom VDI yükleyicisi, saldırganların uygun izin olmadan yerel dosyaları silmek için kullanabileceği erişim haklarını düzgün şekilde kontrol etmez (CVE-2023-28603, CVSS 7.7, yüksek). Saldırganlar, bir sohbet başlattıklarında kurbanın Zoom uygulamasını çökertmek için bir HTML yerleştirme güvenlik açığından yararlanabilir (CVE-2023-28598, CVSS 7.5, yüksek). Saldırganlar ayrıca Windows için Zoom yükleyicisindeki bir güvenlik açığını kullanarak ayrıcalıklarını yükseltebilir (CVE-2023-34122, CVSS 7.3, yüksek).
Güvenlik açıkları, macOS için Zoom ve Windows için Zoom 5.14.10 ve sonraki sürümleri, Zoom için Linux, Android ve iOS 5.13.10 ve sonraki sürümleri, Zoom Meeting SDK 5.13.0 ve Windows için Zoom Rooms ve Windows 5.14 için Zoom VDI tarafından kapatılır. 0 veya daha yeni. Bunlar, Zoom indirme sayfasında indirilebilir. Bazı boşluklar yüksek risk oluşturduğundan ve bazen sadece “kritik” derecelendirmeden yoksun olduğundan, Zoom kullanıcılarının kurulu sürümün güncel olup olmadığını hızlı bir şekilde kontrol etmesi gerekir. Zoom, güvenlik açıklarını ve ayrıntıları web’deki bir genel bakış sayfasında listeler.
En son Zoom, Mart ayında aynı adlı yazılımında bazı yüksek riskli güvenlik açıklarını kapatmak zorunda kaldı. Saldırganların kötü amaçlı kod enjekte etmesine ve yürütmesine izin verdiler.
(dmk)
Haberin Sonu