Zoom, mobil ve masaüstü programlarının yeni sürümlerinde çeşitli güvenlik açıklarını giderdi. Rota manipülasyonunun yanı sıra şifrelemeyle ilgili sorunlar, yetersiz erişim kontrolü ve konferans yazılımının kimlik doğrulama rutinlerindeki hatalar da vardı. Ayrıntılar azdır ancak kullanıcıların yine de önlem olarak güncelleme yapması gerekir.
Duyuru
En ciddi güvenlik açığı, Windows saldırganlarının ayrıcalıkları yükseltmesine olanak tanır. Giriş yapmanız gerekse de saldırı ağ üzerinden de gerçekleştirilebilir. Güvenlik açığı, CVE-2023-43586 CVE kimliğine sahiptir ve 7,3 CVSS puanıyla “yüksek” önem derecesine sahiptir. 5.16.5 sürümünden önceki Zoom masaüstü istemcisi, video ve toplantı SDK’sı ve 5.16.0 sürümünden önceki VDI istemcisi etkilenir.
Etkilenen mobil ve masaüstü istemciler
Android ve iOS uygulamalarında da iki boşluk var. Yetersiz erişim kontrolü (CVE-2023-43585, CVSSv3: 7.1, risk”yüksek“) 5.16.5 sürümünden önceki IOS uygulamalarını ve SDK’yı etkiler, ancak ilginç bir şekilde 5.16.0 sürümünden önceki Android Meetings SDK’sını da etkiler. Belirtilmeyen bir şifreleme sorunundan (CVE-2023-43583, CVSSS 4.9, risk”)orta“), Android ve IOS uygulamalarının yanı sıra 6.16.0 sürümünden önceki Toplantı ve Video SDK’ları da etkilenmektedir. Her iki güvenlik açığı da saldırganların ağ üzerinden kendilerine yönelik olmayan bilgilere erişmesine olanak tanır.
Windows, macOS, Linux, iOS ve Android istemcileri, VDI istemcisi ve tüm SDK’lar gibi çok çeşitli Zoom ürünleri, izin verilen hizmetin reddedilmesine neden olan orta önem derecesine sahip bir güvenlik açığından (CVE-2023-49646, CVSS 5.4) muzdariptir. 5.16.5’ten önceki tüm sürümler savunmasızdır. Görünüşe göre Zoom’un yakın zamanda yayınlanan tvOS sürümü etkilenmedi.
Zoom kullanıcıları, açıklanan tüm hataları düzelten 5.16.5 sürümüne güncelleme yapmalıdır.
(cku)
Haberin Sonu
Duyuru
En ciddi güvenlik açığı, Windows saldırganlarının ayrıcalıkları yükseltmesine olanak tanır. Giriş yapmanız gerekse de saldırı ağ üzerinden de gerçekleştirilebilir. Güvenlik açığı, CVE-2023-43586 CVE kimliğine sahiptir ve 7,3 CVSS puanıyla “yüksek” önem derecesine sahiptir. 5.16.5 sürümünden önceki Zoom masaüstü istemcisi, video ve toplantı SDK’sı ve 5.16.0 sürümünden önceki VDI istemcisi etkilenir.
Etkilenen mobil ve masaüstü istemciler
Android ve iOS uygulamalarında da iki boşluk var. Yetersiz erişim kontrolü (CVE-2023-43585, CVSSv3: 7.1, risk”yüksek“) 5.16.5 sürümünden önceki IOS uygulamalarını ve SDK’yı etkiler, ancak ilginç bir şekilde 5.16.0 sürümünden önceki Android Meetings SDK’sını da etkiler. Belirtilmeyen bir şifreleme sorunundan (CVE-2023-43583, CVSSS 4.9, risk”)orta“), Android ve IOS uygulamalarının yanı sıra 6.16.0 sürümünden önceki Toplantı ve Video SDK’ları da etkilenmektedir. Her iki güvenlik açığı da saldırganların ağ üzerinden kendilerine yönelik olmayan bilgilere erişmesine olanak tanır.
Windows, macOS, Linux, iOS ve Android istemcileri, VDI istemcisi ve tüm SDK’lar gibi çok çeşitli Zoom ürünleri, izin verilen hizmetin reddedilmesine neden olan orta önem derecesine sahip bir güvenlik açığından (CVE-2023-49646, CVSS 5.4) muzdariptir. 5.16.5’ten önceki tüm sürümler savunmasızdır. Görünüşe göre Zoom’un yakın zamanda yayınlanan tvOS sürümü etkilenmedi.
Zoom kullanıcıları, açıklanan tüm hataları düzelten 5.16.5 sürümüne güncelleme yapmalıdır.
(cku)
Haberin Sonu