Kurzer Hinweis für Nutzer die die Videokonferenzsoftware Zoom verwenden bzw. Administratoren, die für die Verwaltung dieser Clients zuständig sind. Im Client wurde am 13. Februar 2024 eine als kritisch eingestufte Schwachstelle CVE-2024-24691 bekannt, die mit dem CVSS Score von 9.6 versehen ist. Der Hersteller hat einen Sicherheitshinweise veröffentlicht und entsprechende Updates des Zoom-Clients bereitgestellt.
Ich bin über nachfolgenden Tweet von Florian Roth auf die Schwachstelle CVE-2024-24691 im Zoom-Client gestoßen. Zoom hat den Sicherheitshinweise ZSB-2400 veröffentlicht.
Die Schwachstelle betrifft den Zoom Desktop Client for Windows, den Zoom VDI Client for Windows, und das Zoom Meeting SDK for Windows. Bei der Schwachstelle handelt es sich um eine unsachgemäße Eingabevalidierung in den Clients. Dies kann einem nicht authentifizierten Benutzer eine Eskalation der Privilegien über den Netzwerkzugang ermöglichen. Betroffen sind folgende Versionen.
- Zoom Desktop Client for Windows before version 5.16.5
- Zoom VDI Client for Windows before version 5.16.10 (excluding 5.14.14 and 5.15.12)
- Zoom Rooms Client for Windows before version 5.17.0
- Zoom Meeting SDK for Windows before version 5.16.5
Die Benutzer können sich schützen, indem sie die neuesten Updates installieren, die auf der Zoom Download-Seite verfügbar gestellt werden.
