Trust Center Security, Privacy, Blogs Additional Resources

安全佈告欄

所有嚴重性
  • 所有嚴重性
  • 危急
所有 CVE (通用漏洞揭露)
  • 所有 CVE (通用漏洞揭露)
  • CVE-2024-24691
  • CVE-2024-24690
  • CVE-2024-24699
  • CVE-2024-24698
  • CVE-2024-24697
  • CVE-2024-24696
  • CVE-2024-24695
  • CVE-2023-49647
  • CVE-2023-49646
  • CVE-2023-43586
  • CVE-2023-43585
  • CVE-2023-43583
  • CVE-2023-43582
  • CVE-2023-43591
  • CVE-2023-43590
  • CVE-2023-43588
  • CVE-2023-39199
  • CVE-2023-39206
  • CVE-2023-39205
  • CVE-2023-39204
  • CVE-2023-39203
  • CVE-2023-39202
  • CVE-2023-39201
  • CVE-2023-39208
  • CVE-2023-39215
  • CVE-2023-39209
  • CVE-2023-39214
  • CVE-2023-39213
  • CVE-2023-39212
  • CVE-2023-39211
  • CVE-2023-39210
  • CVE-2023-39218
  • CVE-2023-39217
  • CVE-2023-39216
  • CVE-2023-36535
  • CVE-2023-36534
  • CVE-2023-36533
  • CVE-2023-36532
  • CVE-2023-36541
  • CVE-2023-36540
  • CVE-2023-36538
  • CVE-2023-36537
  • CVE-2022-36928
  • CVE-2022-36926
    CVE-2022-36927
  • CVE-2022-36925
  • CVE-2022-36924
  • CVE-2022-28768
  • CVE-2022-28766
  • CVE-2022-28764
  • CVE-2022-28763
  • CVE-2022-28762
  • CVE-2022-28761
  • CVE-2022-28760
  • CVE-2022-28758
    CVE-2022-28759
  • CVE-2022-28757
  • CVE-2022-28756
  • CVE-2022-28751
  • CVE-2022-28753
    CVE-2022-28754
  • CVE-2022-28755
  • CVE-2022-28750
  • CVE-2022-28749
  • CVE-2022-22788
  • CVE-2022-22787
  • CVE-2022-22786
  • CVE-2022-22785
  • CVE-2022-22784
  • CVE-2022-22783
  • CVE-2022-22782
  • CVE-2022-22781
  • CVE-2022-22780
  • CVE-2022-22779
  • CVE-2021-34426
  • CVE-2021-34425
  • CVE-2021-34424
  • CVE-2021-34423
  • CVE-2021-34422
  • CVE-2021-34421
  • CVE-2021-34420
  • CVE-2021-34419
  • CVE-2021-34418
  • CVE-2021-34417
  • CVE-2021-34416
  • CVE-2021-34415
  • CVE-2021-34414
  • CVE-2021-34413
  • CVE-2021-34412
  • CVE-2021-34411
  • CVE-2021-34408
  • CVE-2021-33907
  • CVE-2021-30480
  • CVE-2021-28133
  • CVE-2020-9767
  • CVE-2020-11443
  • CVE-2019-13567
  • CVE-2019-13450
  • CVE-2019-13449
搜尋

安全佈告欄

Zoom 不會針對 Zoom 安全佈告欄的訊息而對個別客戶提供關於漏洞影響的指引,也不會提供關於漏洞的其他詳細資訊。 我們建議使用者更新為最新版本的 Zoom 軟體,以獲得最新的修正程式和提升的安全性。

ZSB 日期 標題 嚴重性 CVE (如適用)
ZSB-24008 02/13/2024 Windows 版 Zoom 桌面用戶端、Windows 版 Zoom VDI 用戶端和 Windows 版 Zoom 會議 SDK - 不當的輸入驗證 危急 CVE-2024-24691

嚴重性: 危急

CVSS 分數: 9.6

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

說明: 在 Windows 版 Zoom 桌面用戶端、Windows 版 Zoom VDI 用戶端和 Windows 版 Zoom 會議 SDK 中,不當的輸入驗證可能會允許未經驗證的使用者透過網路存取進行權限提升。

使用者可以從 https://zoom.us/download 套用最新的更新,以保護自己的安全。

受影響的產品:

  • 5.15.5 版本之前的 Windows 版 Zoom 桌面用戶端
  • Zoom 桌面用戶端 (僅適用於 macOS 5.15.0 版)
  • Zoom 桌面用戶端 (僅適用於 Linux 5.15.0 版)
  • Zoom 行動應用程式 (僅適用於 iOS 版本 5.15.0)

來源: 由 Zoom 攻擊性安全舉報。

ZSB-24007 02/13/2024 Zoom 用戶端 - 不當的輸入驗證 CVE-2024-24690

嚴重性: 中

CVSS 分數: 5.4

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

說明: 部分 Zoom 用戶端中,不當的輸入驗證可能會允許已驗證的使用者透過網路存取進行拒絕服務。

使用者可以從 https://zoom.us/download 套用最新的更新,以保護自己的安全。

受影響的產品:

  • 5.15.5 版本之前的 Windows 版 Zoom 用戶端 SDK
  • 5.15.5 版本之前的 iOS 版 Zoom 用戶端 SDK
  • 5.15.5 版本之前的 Android 版 Zoom 用戶端 SDK
  • 5.15.5 版本之前的 macOS 版 Zoom 用戶端 SDK
  • 5.15.5 版本之前的 Linux 版 Zoom 用戶端 SDK

來源: 由 Zoom 攻擊性安全舉報。

ZSB-24006 02/13/2024 Zoom 用戶端 - 商業邏輯錯誤 CVE-2024-24699

嚴重性: 中

CVSS 分數: 6.5

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

說明: 部分 Zoom 用戶端的會議內部聊天中,商業邏輯錯誤可能會允許已驗證的使用者透過網路存取進行資訊揭露。

使用者可以從 https://zoom.us/download 套用最新的更新,以保護自己的安全。

受影響的產品:

  • 5.15.2 版本之前的 Windows 版 Zoom 桌面用戶端
  • 5.15.2 版本之前的 Zoom VDI 用戶端
  • 5.12.6 版本之前的 Windows 版 (32 位元) 會議室專用 Zoom Rooms
  • Chrome OS 版 Zoom Client for Meetings:5.0.1 之前的版本
  • (Android、AndroidBali、macOS 和 Windows 版) Zoom Rooms 會議室:5.8.3 之前的版本
  • (Android、iOS 和 Windows 版) Zoom Rooms 控制器:5.8.3 之前的版本
  • Zoom VDI Windows Meeting Client:5.8.4 之前的版本
  • Zoom VDI Azure Virtual Desktop 外掛程式 (適用於 Windows x86 或 x64、IGEL x64、Ubuntu x64、HP ThinPro OS x64):5.8.4.21112 之前的版本

來源: 由 Zoom 攻擊性安全舉報。

ZSB-24005 02/13/2024 Zoom 用戶端 - 不當的身分驗證 CVE-2024-24698

嚴重性: 中

CVSS 分數: 4.9

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

說明: 部分 Zoom 用戶端中,不當的身分驗證可能會允許獲權限的使用者透過本機存取進行資訊揭露。

使用者可以從 https://zoom.us/download 套用最新的更新,以保護自己的安全。

受影響的產品:

  • 5.15.5 版本之前的 Windows 版 Zoom Rooms
  • 5.12.6 版本之前的 Zoom VDI Windows Meeting 用戶端
  • 5.12.6 版本之前的 (Android、iOS、Linux、macOS 和 Windows 版) 會議室專用 Zoom Rooms
  • 所有 macOS 版 Zoom Client for Meetings:5.7.3 之前的版本
  • 所有 Windows 版 Zoom Client for Meetings:5.6.3 之前的版本
  • (Android、iOS 和 Windows 版) Zoom Rooms 控制器:5.8.3 之前的版本
  • Zoom VDI Windows Meeting Client:5.8.4 之前的版本
  • Zoom VDI Azure Virtual Desktop 外掛程式 (適用於 Windows x86 或 x64、IGEL x64、Ubuntu x64、HP ThinPro OS x64):5.8.4.21112 之前的版本

來源: 由 Zoom 攻擊性安全舉報。

ZSB-24004 02/13/2024 Zoom 用戶端 - 不受信任的搜尋路徑 CVE-2024-24697

嚴重性: 高

CVSS 分數: 7.2

CVSS 向量字串: CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H

說明: 部分 Zoom 32 位元 Windows 版用戶端中,不受信任的搜尋路徑可能會允許已驗證的使用者透過本機存取進行權限提升。

使用者可以從 https://zoom.us/download 套用最新的更新,以保護自己的安全。

受影響的產品:

  • 5.17.0 版本之前的 Windows 版 Zoom 桌面用戶端
  • 5.15.5 版本之前的 Windows 版 Zoom Rooms
  • 5.14.0 版本之前的 Zoom VDI Windows Meeting 用戶端
  • Chrome OS 版 Zoom Client for Meetings:5.0.1 之前的版本

來源: 由 sim0nsecurity 舉報。

ZSB-24003 02/13/2024 Windows 版 Zoom 桌面用戶端、Windows 版 Zoom VDI 用戶端和 Windows 版 Zoom 會議 SDK - 不當的輸入驗證 CVE-2024-24696

嚴重性: 中

CVSS 分數: 6.8

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N

說明: Windows 版 Zoom 桌面用戶端的會議內部聊天、Windows 版 Zoom VDI 用戶端和 Windows 版 Zoom 會議 SDK 中,不當的輸入驗證可能會允許已驗證的使用者透過網路存取進行資訊揭露。

使用者可以從 https://zoom.us/download 套用最新的更新,以保護自己的安全。

受影響的產品:

  • 5.15.0 版本之前的 Windows 版 Zoom 用戶端 SDK
  • 5.14.0 版本之前的 Windows 版 Zoom Rooms 用戶端
  • 5.14.0 版本之前的 Zoom VDI Windows Meeting 用戶端

來源: 由 shmoul 舉報。

ZSB-24002 02/13/2024 Windows 版 Zoom 桌面用戶端、Windows 版 Zoom VDI 用戶端和 Windows 版 Zoom 會議 SDK - 不當的輸入驗證 CVE-2024-24695

嚴重性: 中

CVSS 分數: 6.8

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N

說明: 在 Windows 版 Zoom 桌面用戶端、Windows 版 Zoom VDI 用戶端和 Windows 版 Zoom 會議 SDK 中,不當的輸入驗證可能會允許已驗證的使用者透過網路存取進行資訊揭露。


使用者可以從 https://zoom.us/download 套用最新的更新,以保護自己的安全。

受影響的產品:

  • 5.17.0 版本之前的 Windows 版 Zoom 桌面用戶端
  • 5.14.10 版本之前的 macOS 版 Zoom 桌面用戶端
  • 5.14.10 版本之前的 Linux 版 Zoom 桌面用戶端

來源: 由 shmoul 舉報。

ZSB-24001 01/09/2024 Windows 版 Zoom 桌面用戶端、Windows 版 Zoom VDI 用戶端和 Windows 版 Zoom SDKs - 不當的存取控制 危急 CVE-2023-49647

嚴重性: 危急

CVSS 分數: 8.8

CVSS 向量字串: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

說明: 在 5.16.10 版本之前的 Windows 版 Zoom 桌面用戶端、Windows 版 Zoom VDI 用戶端和 Windows 版 Zoom SDKs 中,不當的存取控制可能會允許已驗證的使用者透過本機存取進行權限提升。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.16.10 版本之前的 Windows 版 Zoom 桌面用戶端
  • 5.14.10 版本之前的 iOS 版 Zoom 用戶端 SDK
  • 5.14.10 版本之前的 Android 版 Zoom 用戶端 SDK
  • 5.14.10 版本之前的 macOS 版 Zoom 用戶端 SDK

來源: 由 sim0nsecurity 舉報。

ZSB-23062 12/12/2023 Zoom 用戶端 - 不當的身分驗證 危急 CVE-2023-49646

嚴重性: 危急

CVSS 分數: 5.4

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

說明: 在 5.16.5 版本之前的部分 Zoom 用戶端中,不當的身分驗證可能會允許已驗證的使用者透過網路存取進行拒絕服務。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

來源: 由 Zoom 攻擊性安全團隊舉報。

ZSB-23059 12/12/2023 Windows 版 Zoom 桌面用戶端、Windows 版 Zoom VDI 用戶端和 Windows 版 Zoom SDKs - 路徑遍歷 危急 CVE-2023-43586

嚴重性: 危急

CVSS 分數: 7.3

CVSS 向量字串: CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N

說明: 在 Windows 版 Zoom 桌面用戶端、Windows 版 Zoom VDI 用戶端和 Windows 版 Zoom SDKs 中,路徑遍歷可能會允許已驗證的使用者透過網路存取進行權限提升。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.16.5 版本之前的 Windows 版 Zoom 桌面用戶端
  • 5.14.10 版本之前的 macOS 版 Zoom 桌面用戶端
  • 5.14.10 版本之前的 Linux 版 Zoom 桌面用戶端
  • 5.14.10 版本之前的 Zoom VDI Host 和外掛程式

來源: 由 shmoul 舉報。

ZSB-23058 12/12/2023 iOS 版 Zoom 行動應用程式和 iOS 版 SDK - 不當的存取控制 危急 CVE-2023-43585

嚴重性: 危急

CVSS 分數: 7.1

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L

說明: 在 5.16.5 版本之前的 iOS 版 Zoom 行動應用程式和 iOS 版 Zoom SDKs 中,不當的存取控制可能會允許已驗證的使用者透過網路存取進行資訊揭露。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.16.5 版本之前的 iOS 版 Zoom 行動應用程式
  • macOS 版會議室用 Zoom Rooms:5.11.6 之前的版本
  • Zoom 內部部署錄製連接器:3.8.42.20200905 之前的版本
  • Zoom 內部部署虛擬會議室連接器:4.4.6344.20200612 之前的版本

來源: 由 Zoom 攻擊性安全團隊舉報。

ZSB-23056 12/12/2023 Android 版 Zoom 行動應用程式、iOS 版 Zoom 行動應用程式和 Zoom SDKs - 加密問題 危急 CVE-2023-43583

嚴重性: 危急

CVSS 分數: 4.9

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

說明: 在 5.16.0 版本之前的 Android 版 Zoom 行動應用程式、iOS 版 Zoom 行動應用程式,以及 Android 和 iOS 版 Zoom SDKs 的加密問題,可能會允許獲權限的使用者透過網路存取進行資訊揭露。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.16.0 版本之前的 Android 版 Zoom 行動應用程式
  • 5.14.7 版本之前的 iOS 版 Zoom 用戶端 SDK
  • 5.14.7 版本之前的 Android 版 Zoom 用戶端 SDK
  • 5.14.7 版本之前的 macOS 版 Zoom 用戶端 SDK
  • 5.14.7 版本之前的 Linux 版 Zoom 用戶端 SDK
  • (Android、iOS 和 Windows 版) Zoom Rooms 控制器:5.8.3 之前的版本

來源: 由 Zoom 攻擊性安全團隊舉報。

ZSB-23055 11/14/2023 Zoom 用戶端 - 不當的授權 危急 CVE-2023-43582

嚴重性: 危急

CVSS 分數: 5.5

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L

說明: 部分 Zoom 用戶端中,不當的授權可能會允許已授權的使用者透過網路存取進行權限提升。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.16.0 版本之前的 Windows 版 Zoom 桌面用戶端
  • 5.14.5 版本之前的 macOS 版 Zoom 桌面用戶端
  • 5.14.5 版本之前的 Linux 版 Zoom 桌面用戶端
  • 5.14.5 版本之前的 Zoom VDI Host 和外掛程式
  • 5.14.5 版本之前的 Android 版 Zoom 行動應用程式
  • 5.14.5 版本之前的 iOS 版 Zoom 行動應用程式
  • 5.14.5 版本之前的 iPad 版 Zoom Rooms
  • 5.14.5 版本之前的 Android 版 Zoom Rooms
  • 5.14.5 版本之前的 Windows 版 Zoom Rooms
  • 5.14.5 版本之前的 macOS 版 Zoom Rooms
  • Android 版 Zoom Meeting SDK:5.7.6.1922 之前的版本
  • iOS 版 Zoom Meeting SDK:5.7.6.1082 之前的版本
  • macOS 版 Zoom Meeting SDK:5.7.6.1340 之前的版本
  • Windows 版 Zoom Meeting SDK:5.7.6.1081 之前的版本
  • (Android、iOS、macOS 和 Windows 版) Zoom 視訊 SDK:1.1.2 之前的版本

來源: 由 Zoom 攻擊性安全團隊舉報。

ZSB-23054 11/14/2023 macOS 的 Zoom Rooms - 不當的權限管理 危急 CVE-2023-43591

嚴重性: 危急

CVSS 分數: 7.8

CVSS 向量字串: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

說明: 在 5.16.0 版本之前的 macOS 版 Zoom Rooms 中,不當的權限管理可能會允許已驗證的使用者透過本機存取進行權限提升。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.16.0 版本之前的 macOS 版 Zoom Rooms

來源: 由 Eugene Lim 舉報 (spaceraccoon)。

ZSB-23053 11/14/2023 macOS 版 Zoom Rooms - 下列連結 危急 CVE-2023-43590

嚴重性: 危急

CVSS 分數: 7.8

CVSS 向量字串: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

說明: 在 5.16.0 版本之前的 macOS 版 Zoom Rooms 中,下列連結可能會允許已驗證的使用者透過本機存取進行權限提升。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.16.0 版本之前的 macOS 版 Zoom Rooms

來源: 由 Eugene Lim 舉報 (spaceraccoon)。

ZSB-23052 11/14/2023 Zoom 用戶端 - 控制流程管理不足 危急 CVE-2023-43588

嚴重性: 危急

CVSS 分數: 3.5

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N

說明: 部分 Zoom 用戶端中控制流程管理不足,可能會允許已驗證的使用者透過網路存取進行資訊揭露。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

來源: 由 Zoom 攻擊性安全團隊舉報。

ZSB-23051 11/14/2023 Zoom 用戶端 - 加密問題 危急 CVE-2023-39199

嚴重性: 危急

CVSS 分數: 4.9

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

說明: 部分 Zoom 用戶端的會議內部聊天中,加密問題可能會允許獲權限的使用者透過網路存取進行資訊揭露。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.16.0 版本之前的 Windows 版 Zoom 桌面用戶端
  • 5.13.3 版本之前的 Windows 版 Zoom Rooms 用戶端
  • 5.13.1 版本之前的 Windows 版 Zoom VDI 用戶端
  • 5.9.6 版之前的所有 Zoom VDI Windows Meeting Client

來源: 由 Zoom 攻擊性安全團隊舉報。

ZSB-23050 11/14/2023 Zoom 用戶端 - 緩衝區溢位 危急 CVE-2023-39206

嚴重性: 危急

CVSS 分數: 3.7

CVSS 向量字串: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L

說明: 部分 Zoom 用戶端中,緩衝區溢位可能會允許未經驗證的使用者透過網路存取進行拒絕服務。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.16.0 版本之前的 Windows 版 Zoom 桌面用戶端
  • 5.13.3 版本之前的 Windows 版 Zoom Rooms 用戶端
  • 5.13.1 版本之前的 Windows 版 Zoom VDI 用戶端
  • Zoom 內部部署虛擬會議室連接器:4.4.6344.20200612 之前的版本
  • Zoom 內部部署虛擬會議室連接器負載平衡器:2.5.5492.20200616 之前的版本

來源: 由 Zoom 攻擊性安全團隊舉報。

ZSB-23049 11/14/2023 Zoom 用戶端 - 不當的條件檢查 危急 CVE-2023-39205

嚴重性: 危急

CVSS 分數: 4.3

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

說明: Zoom 用戶端的 Zoom Team Chat 中,不當的條件檢查可能會允許已驗證的使用者透過網路存取進行拒絕服務。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.16.0 版本之前的 Windows 版 Zoom 桌面用戶端
  • 5.10.0 版之前的 Windows 版 Zoom Rooms 會議室
  • 5.10.3 版之前的所有 Windows 版 Microsoft Outlook 專用 Zoom 外掛程式
  • 5.9.6 版之前的所有 Zoom VDI Windows Meeting Client
  • 所有 Windows 版 Zoom Client for Meetings:5.6.3 之前的版本

來源: 由 Zoom 攻擊性安全團隊舉報。

ZSB-23048 11/14/2023 Zoom 用戶端 - 緩衝區溢位 危急 CVE-2023-39204

嚴重性: 危急

CVSS 分數: 4.3

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L

說明: 部分 Zoom 用戶端中,緩衝區溢位可能會允許未經驗證的使用者透過網路存取進行拒絕服務。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.15.10 版本之前的 Windows 版 Zoom 桌面用戶端
  • 5.10.0 版本之前的所有 Windows 版會議室專用 Zoom Rooms
  • Zoom 內部部署錄製連接器:3.8.42.20200905 之前的版本
  • Zoom 內部部署虛擬會議室連接器:4.4.6344.20200612 之前的版本
  • Zoom 內部部署虛擬會議室連接器負載平衡器:2.5.5492.20200616 之前的版本

來源: 由 Zoom 攻擊性安全團隊舉報。

ZSB-23047 11/14/2023 Windows 版 Zoom 桌面用戶端和 Zoom VDI 用戶端 - 不受控制的資源消耗 危急 CVE-2023-39203

嚴重性: 危急

CVSS 分數: 4.3

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L

說明: Windows 版 Zoom 桌面用戶端的 Zoom Team Chat 和 Zoom VDI 用戶端中,不受控制的資源消耗可能會允許未經驗證的使用者透過網路存取進行資訊揭露。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.16.0 版本之前的 Windows 版 Zoom 桌面用戶端
  • 5.13.5 版本之前的 (Linux、macOS 和 Windows 版) Zoom Rooms 用戶端

來源: 由 shmoul 舉報。

ZSB-23046 11/14/2023 Windows 版 Zoom Rooms 用戶端和 Zoom VDI 用戶端 - 不受信任的搜尋路徑 危急 CVE-2023-39202

嚴重性: 危急

CVSS 分數: 3.1

CVSS 向量字串: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:L

說明: 在 Windows 版 Zoom Rooms 用戶端和 Zoom VDI 用戶端中,不受信任的搜尋路徑可能會允許獲權限的使用者透過本機存取進行拒絕服務。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.16.0 版本之前的 Windows 版 Zoom Rooms 用戶端
  • Zoom 內部部署會議連接器 MMR:4.6.360.20210325 之前的版本

來源: 由 sim0nsecurity 舉報。

ZSB-23045 09/12/2023 CleanZoom - 不受信任的搜尋路徑 危急 CVE-2023-39201

嚴重性: 危急

CVSS 分數: 7.2

CVSS 向量字串: CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H

說明: 檔案日期 2023 年 7 月 24 日之前的 CleanZoom 中,不受信任的搜尋路徑可能會允許獲權限的使用者透過本機存取進行權限提升。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 檔案日期 2023 年 7 月 24 日之前的 CleanZoom 版本

來源: 由 sim0nsecurity 舉報。

ZSB-23043 09/12/2023 Linux 版 Zoom 桌面用戶端 - 不當的輸入驗證 危急 CVE-2023-39208

嚴重性: 危急

CVSS 分數: 6.5

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L

說明: 在 5.15.10 版本之前的 Linux 版 Zoom 桌面用戶端中,不當的輸入驗證可能會允許未經驗證的使用者透過網路存取進行拒絕服務。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.15.10 版本之前的 Linux 版 Zoom 桌面用戶端

來源: 由 Antoine Roly (aroly) 舉報。

ZSB-23040 09/12/2023 Zoom 用戶端 - 不當的身分驗證 危急 CVE-2023-39215

嚴重性: 危急

CVSS 分數: 7.1

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:H

說明: 在 Zoom 用戶端中,不當的身分驗證可能會允許已驗證的使用者透過網路存取進行拒絕服務。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.15.5 版本之前的 Windows 版 Zoom 桌面用戶端
  • 5.14.10 版本之前的 Zoom for macOS
  • 5.13.1 版本之前的 Windows 版 Zoom VDI 用戶端
  • Chrome OS 版 Zoom Client for Meetings:5.0.1 之前的版本
  • (Android、AndroidBali、macOS 和 Windows 版) Zoom Rooms 會議室:5.8.3 之前的版本
  • (Android、iOS 和 Windows 版) Zoom Rooms 控制器:5.8.3 之前的版本
  • Zoom VDI Windows Meeting Client:5.8.4 之前的版本
  • Zoom VDI Azure Virtual Desktop 外掛程式 (適用於 Windows x86 或 x64、IGEL x64、Ubuntu x64、HP ThinPro OS x64):5.8.4.21112 之前的版本

來源: 由 Zoom 攻擊性安全團隊舉報。

ZSB-23041 08/08/2023 Windows 版 Zoom 桌面用戶端 - 不當的輸入驗證 危急 CVE-2023-39209

嚴重性: 危急

CVSS 分數: 5.9

CVSS 向量字串: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

說明: 在 5.15.5 版本之前的 Windows 版 Zoom 桌面用戶端中,不當的輸入驗證可能會允許已驗證的使用者透過網路存取進行資訊揭露。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.15.5 版本之前的 Windows 版 Zoom 桌面用戶端

來源: 由 Zoom 攻擊性安全團隊舉報。

ZSB-23039 08/08/2023 Zoom 用戶端 - 敏感資訊曝露 危急 CVE-2023-39214

嚴重性: 危急

CVSS 分數: 7.6

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H

說明: 在 5.15.5 版本之前的 Zoom 用戶端中,敏感資訊曝露可能會允許已驗證的使用者透過網路存取進行拒絕服務。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.15.5 版本之前的 Windows 版 Zoom 桌面用戶端
  • 5.12.6 版本之前的 Zoom VDI Windows Meeting 用戶端
  • 5.12.6 版本之前的 (Android、iOS、Linux、macOS 和 Windows 版) 會議室專用 Zoom Rooms

來源: 由 Zoom 攻擊性安全團隊舉報。

ZSB-23038 08/08/2023 Windows 版 Zoom 桌面用戶端和 Zoom VDI 用戶端 - 不當的特殊元素中和 危急 CVE-2023-39213

嚴重性: 危急

CVSS 分數: 9.6

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

說明: 在 Windows 版 Zoom 桌面用戶端和 Zoom VDI 用戶端中,不當的特殊元素中和可能會允許未經驗證的使用者透過網路存取進行權限提升。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.15.2 版本之前的 Windows 版 Zoom 桌面用戶端
  • 5.14.0 版本之前的 Windows 版 Zoom Rooms 用戶端
  • 5.14.0 版本之前的 Zoom VDI Windows Meeting 用戶端

來源: 由 Zoom 攻擊性安全團隊舉報。

ZSB-23037 08/08/2023 Windows 版 Zoom Rooms - 不受信任的搜尋路徑 危急 CVE-2023-39212

嚴重性: 危急

CVSS 分數: 7.9

CVSS 向量字串: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

說明: 在 5.15.5 版本之前的 Windows 版 Zoom Rooms 中,未受信任的搜尋路徑可能會允許已驗證使用者透過本機存取進行拒絕服務。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.15.5 版本之前的 Windows 版 Zoom Rooms

來源: 由 sim0nsecurity 舉報。

ZSB-23036 08/08/2023 Windows 版 Zoom 桌面用戶端和 Windows 版 Zoom Rooms - 不當的權限管理 危急 CVE-2023-39211

嚴重性: 危急

CVSS 分數: 8.8

CVSS 向量字串: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

說明: 在 5.15.5 版本之前的 Windows 版 Zoom 桌面用戶端和 Windows 版 Zoom Rooms 中,不當的權限管理可能會允許已驗證的使用者透過本機存取進行資訊揭露。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.15.5 版本之前的 Windows 版 Zoom 桌面
  • 5.10.0 版本之前的所有 Windows 版會議室專用 Zoom Rooms

來源: 由 sim0nsecurity 舉報。

ZSB-23035 08/08/2023 Windows 版 Zoom 用戶端 SDK - 以明文形式儲存敏感資訊 危急 CVE-2023-39210

嚴重性: 危急

CVSS 分數: 5.5

CVSS 向量字串: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

說明: 在 5.15.0 版本之前的 Windows 版 Zoom 用戶端 SDK 中,以明文形式儲存敏感資訊可能會允許已驗證的使用者透過本機存取進行資訊揭露。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.15.0 版本之前的 Windows 版 Zoom 用戶端 SDK

來源: 由 sim0nsecurity 舉報。

ZSB-23034 08/08/2023 Zoom 用戶端 - 伺服器端安全性的用戶端強制執行 危急 CVE-2023-39218

嚴重性: 危急

CVSS 分數: 6.5

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

說明: 在 5.14.10 版本之前的 Zoom 用戶端中,伺服器端安全性的用戶端強制執行可能會允許獲權限的使用者透過網路存取進行資訊揭露。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.14.10 版本之前的 Windows 版 Zoom 桌面用戶端
  • Zoom 內部部署會議連接器 MMR:4.6.365.20210703 之前的版本
  • Zoom 內部部署錄製連接器:3.8.45.20210703 之前的版本
  • Zoom 內部部署虛擬會議室連接器:4.4.6868.20210703 之前的版本
  • Zoom 內部部署虛擬會議室連接器負載平衡器:2.5.5496.20210703 之前的版本

來源: 由 Zoom 攻擊性安全團隊舉報。

ZSB-23033 08/08/2023 Zoom 用戶端 - 不當的輸入驗證 危急 CVE-2023-39217

嚴重性: 危急

CVSS 分數: 5.3

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

說明: 在 5.14.10 版本之前的 Zoom 用戶端中,不當的輸入驗證可能會允許未經驗證的使用者透過網路存取進行拒絕服務。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.14.10 版本之前的 Windows 版 Zoom 桌面用戶端
  • 5.12.6 版本之前的 Windows 版 (32 位元) Zoom VDI Windows Meeting 用戶端
  • 5.12.6 版本之前的 Windows 版 (32 位元) 會議室專用 Zoom Rooms
  • Zoom 內部部署虛擬會議室連接器:4.4.6752.20210326 之前的版本
  • Zoom 內部部署虛擬會議室連接器負載平衡器:2.5.5495.20210326 之前的版本
  • Chrome 用戶端:3.3.1635.1130 之前的版本
  • Windows Zoom Room 用戶端:4.1.6 (35121.1201) 之前的版本
  • Mac Zoom Room 用戶端:4.1.7 (35123.1201) 之前的版本
  • Chrome Zoom Room 用戶端:3.6.2895.1130 之前的版本
  • Windows Zoom SDK:4.1.30384.1029 之前的版本

來源: 由 Zoom 攻擊性安全團隊舉報。

ZSB-23032 08/08/2023 Windows 版 Zoom 桌面用戶端 - 不當的輸入驗證 危急 CVE-2023-39216

嚴重性: 危急

CVSS 分數: 9.6

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

說明: 在 5.14.7 版本之前的 Windows 版 Zoom 桌面用戶端中,不當的輸入驗證可能會允許未經驗證的使用者透過網路存取進行權限提升。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.14.7 版本之前的 Windows 版 Zoom 桌面用戶端

來源: 由 Zoom 攻擊性安全團隊舉報。

ZSB-23031 08/08/2023 Zoom 用戶端 - 伺服器端安全性的用戶端強制執行 危急 CVE-2023-36535

嚴重性: 危急

CVSS 分數: 7.1

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L

說明: 在 5.14.10 版本之前的 Zoom 用戶端中,伺服器端安全性的用戶端強制執行可能會允許已驗證的使用者透過網路存取進行資訊揭露。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.14.10 版本之前的 Windows 版 Zoom 用戶端
  • 5.12.2 版本之前的 Zoom VDI Windows Meeting 用戶端
  • 5.12.2 版本之前的 (Android、iOS、Linux、macOS 和 Windows 版) 會議室專用 Zoom Rooms
  • Zoom 內部部署虛擬會議室連接器:4.4.6620.20201110 之前的版本
  • Zoom 內部部署虛擬會議室連接器負載平衡器:2.5.5495.20210326 之前的版本

來源: 由 Zoom 攻擊性安全團隊舉報。

ZSB-23030 08/08/2023 Windows 版 Zoom 桌面用戶端 - 路徑遍歷 危急 CVE-2023-36534

嚴重性: 危急

CVSS 分數: 9.3

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H

說明: 在 5.14.7 版本之前的 Windows 版 Zoom 桌面用戶端中,路徑遍歷可能會允許未經驗證的使用者透過網路存取進行權限提升。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.14.7 版本之前的 Windows 版 Zoom 桌面用戶端

來源: 由 Zoom 攻擊性安全團隊舉報。

ZSB-23029 08/08/2023 Zoom SDK - 不受控制的資源消耗 危急 CVE-2023-36533

嚴重性: 危急

CVSS 分數: 7.1

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H

說明: 在 5.14.7 版本之前的 Zoom SDK 中,不受控制的資源消耗可能會允許未經驗證的使用者透過網路存取進行拒絕服務。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.14.7 版本之前的 Windows 版 Zoom 用戶端 SDK
  • Zoom VDI Windows Meeting 用戶端:5.10.7 之前的版本
  • 5.11.0 版本之前的 (Android、iOS、Linux、macOS 和 Windows 版) 會議室專用 Zoom Rooms
  • Zoom 內部部署虛擬會議室連接器:4.4.6868.20210703 之前的版本
  • Zoom 內部部署虛擬會議室連接器負載平衡器:2.5.5496.20210703 之前的版本

來源: 由 Zoom 攻擊性安全團隊舉報。

ZSB-23028 08/08/2023 Zoom 用戶端 - 緩衝區溢位 危急 CVE-2023-36532

嚴重性: 危急

CVSS 分數: 5.9

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

說明: 在 5.14.5 版本之前的 Zoom 用戶端 中,緩衝區溢位可能會允許未經驗證的使用者透過網路存取進行拒絕服務。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.14.5 版本之前的 Windows 版 Zoom 桌面用戶端
  • Zoom 內部部署會議連接器 MMR:4.6.360.20210325 之前的版本
  • Zoom 內部部署錄製連接器:3.8.44.20210326 之前的版本
  • Zoom 內部部署虛擬會議室連接器:4.4.6752.20210326 之前的版本
  • Zoom 內部部署虛擬會議室連接器負載平衡器:2.5.5495.20210326 之前的版本

來源: 由 Zoom 攻擊性安全團隊舉報。

ZSB-23027 08/08/2023 Windows 版 Zoom 桌面用戶端 - 資料真實性驗證不足 危急 CVE-2023-36541

嚴重性: 危急

CVSS 分數: 8

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

說明: 在 5.14.5 版本之前的 Windows 版 Zoom 桌面用戶端中,資料真實性驗證不足可能會允許已驗證的使用者透過網路存取進行權限提升。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.14.5 版本之前的 Windows 版 Zoom 桌面用戶端

來源: 由 sim0nsecurity 舉報。

ZSB-23026 08/08/2023 Windows 版 Zoom 桌面用戶端 - 不受信任的搜尋路徑 危急 CVE-2023-36540

嚴重性: 危急

CVSS 分數: 7.3

CVSS 向量字串: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

說明: 在 5.14.5 版本之前的 Windows 版 Zoom 桌面用戶端安裝程式中,不受信任的搜尋路徑可能會允許已驗證的使用者透過本機存取進行權限提升。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.14.5 版本之前的 Windows 版 Zoom 桌面用戶端

來源: 由 sim0nsecurity 舉報。

ZSB-23024 07/11/2023 不當的存取控制 危急 CVE-2023-36538

嚴重性: 危急

CVSS 分數: 8.4

CVSS 向量字串: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

說明: 在 5.15.0 版本之前的 Windows 版 Zoom Rooms 中,不當的存取控制可能會允許已驗證使用者透過本機存取進行權限提升。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.15.0 版本之前的 Windows 版 Zoom Rooms

來源: 由 sim0nsecurity 舉報。

ZSB-23023 07/11/2023 不當的權限管理 危急 CVE-2023-36537

嚴重性: 危急

CVSS 分數: 7.3

CVSS 向量字串: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

說明: 在 5.14.5 版本之前的 Windows 版 Zoom Rooms 中,不當的權限管理可能會允許已驗證使用者透過本機存取進行權限提升。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.12.7 版本之前的 Windows 版 Zoom Rooms 用戶端

來源: 由 sim0nsecurity 舉報

ZSB-22033 01/06/2023 Zoom for Android 用戶端中的路徑穿越 危急 CVE-2022-36928

嚴重性: 危急

CVSS 分數: 6.1

CVSS 向量字串: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N

說明: 5.13.0 版本之前的 Zoom for Android 用戶端包含路徑穿越漏洞。 第三方應用程式可利用此漏洞讀取和寫入 Zoom 應用程式資料目錄。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.13.0 版本之前的 Zoom for Android 用戶端

來源: 由 Microsoft 的 Dimitrios Valsamaras 舉報

ZSB-22032 01/06/2023 macOS 版 Zoom Rooms 用戶端中的本機權限提升 危急 CVE-2022-36926
CVE-2022-36927

嚴重性: 危急

CVSS 分數: 8.8

CVSS 向量字串: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

說明: 5.11.3 版本之前的 macOS 版 Zoom Rooms 用戶端包含本機權限提升漏洞。 本機低權限使用者可以利用此漏洞將其權限提升為 root。
使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.11.3 版本之前的 macOS 版 Zoom Rooms 用戶端

來源: 由 Kirin (Pwnrin) 舉報

ZSB-22031 01/06/2023 macOS 版 Zoom Rooms 用戶端的不安全金鑰產生 危急 CVE-2022-36925

嚴重性: 危急

CVSS 分數: 4.4

CVSS 向量字串: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

說明: 5.11.4 版本之前的 macOS 版 Zoom Rooms 用戶端包含不安全金鑰產生漏洞。 Zoom Rooms 幕後執行程式服務和 Zoom Rooms 用戶端之間用於 IPC 的加密金鑰,是使用可由本機低權限應用程式獲得的參數所產生的。 然後可使用該金鑰與幕後執行程式服務互動,以執行需具有權限的功能並導致本機拒絕服務。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.11.4 版本之前的 macOS 版 Zoom Rooms

來源: 由 Kirin (Pwnrin) 舉報

ZSB-22030 11/15/2022 Windows 版 Zoom Rooms 安裝程式的本機權限提升 危急 CVE-2022-36924

嚴重性: 危急

CVSS 分數: 8.8

CVSS 向量字串: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

說明: 5.12.6 版本之前的 Windows 版 Zoom Rooms 安裝程式包含本機權限提升漏洞。 本機低權限使用者可於安裝過程中,利用此漏洞將其權限提升為 SYSTEM 使用者。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.12.6 版本之前的 Windows 版 Zoom Rooms 安裝程式

來源: 由 sim0nsecurity 舉報

ZSB-22029 11/15/2022 macOS 版 Zoom 用戶端安裝程式中的本機權限提升 危急 CVE-2022-28768

嚴重性: 危急

CVSS 分數: 8.8

CVSS 向量字串: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

說明: 5.12.6 版本之前的 macOS 版 (標準版和 IT 管理員版) Zoom Client for Meetings 安裝程式包含本機權限提升漏洞。 本機低權限使用者可於安裝過程中,利用此漏洞將其權限提升為 root。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.12.6 版本之前的 macOS 版 (標準版和 IT 管理員版) Zoom Client for Meetings 安裝程式

來源: 由 Koh M. Nakagawa (tsunekoh) 舉報

ZSB-22027 11/15/2022 Zoom Windows 用戶端中的 DLL 注入 危急 CVE-2022-28766

嚴重性: 危急

CVSS 分數: 8.1

CVSS 向量字串: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L

說明: 5.12.6 版本之前的 Windows 32 位元版 Zoom Client for Meetings,5.12.6 版本之前的會議室專用 Zoom Rooms 容易受到 DLL 插入漏洞的影響。 本機低權限使用者可以利用此漏洞在 Zoom 用戶端環境中執行任意程式碼。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全

受影響的產品:

  • 5.12.6 版本之前的 Windows 版 (32 位元) Zoom Client for Meetings
  • 5.12.6 版本之前的 Windows 版 (32 位元) Zoom VDI Windows Meeting 用戶端
  • 5.12.6 版本之前的 Windows 版 (32 位元) 會議室專用 Zoom Rooms

來源: 由 sim0nsecurity 舉報

ZSB-22025 11/10/2022 Zoom 用戶端中本機資訊暴露 危急 CVE-2022-28764

嚴重性: 危急

CVSS 分數: 3.3

CVSS 向量字串: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

說明: 5.12.6 版本之前的 (Android、iOS、Linux、macOS 和 Windows 版) Zoom Client for Meetings 容易受到本機資訊暴露漏洞的影響。

會議結束後無法從本機 SQL 資料庫中清除資料的錯誤,以及使用安全性不足的加密金鑰加密資料庫,會導致本機中的惡意使用者能夠從本機使用者帳戶 (例如:上一名參與會議內部聊天的使用者) 取得會議資訊。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.12.6 版本之前的 (Android、iOS、Linux、macOS 和 Windows 版) Zoom Client for Meetings
  • 5.12.6 版本之前的 Zoom VDI Windows Meeting 用戶端
  • 5.12.6 版本之前的 (Android、iOS、Linux、macOS 和 Windows 版) 會議室專用 Zoom Rooms

來源: 由 SySS GmbH 的 Christian Zäske 舉報

ZSB-22024 10/24/2022 Zoom 用戶端中不當 URL 剖析 危急 CVE-2022-28763

嚴重性: 危急

CVSS 分數: 8.8

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

說明: 5.12.2 版本之前的 (Android、iOS、Linux、macOS 和 Windows 版) Zoom Client for Meetings 容易受到 URL 剖析漏洞的影響。 如果打開惡意的 Zoom 會議 URL,惡意連結可能會指示使用者連接到任意網路位址,進而導致其他攻擊,包括接管會議。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.12.2 版本之前的 (Android、iOS、Linux、macOS 和 Windows 版) Zoom Client for Meetings
  • 5.12.2 版本之前的 Zoom VDI Windows Meeting 用戶端
  • 5.12.2 版本之前的 (Android、iOS、Linux、macOS 和 Windows 版) 會議室專用 Zoom Rooms

來源: 由 Zoom 安全團隊舉報

ZSB-22023 10/11/2022 macOS 版 Zoom Client for Meetings 中的 Zoom App 偵錯連接埠配置錯誤 危急 CVE-2022-28762

嚴重性: 危急

CVSS 分數: 7.3

CVSS 向量字串: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

說明: macOS 版 (標準版和 IT 管理員版) Zoom Client for Meetings:從 5.10.6 開始到 5.12.0 之前的版本,包含偵錯連接埠配置錯誤。 當攝影機模組啟用背景渲染,作為 Zoom App Layer API 執行特定 Zoom App 時,會導致 Zoom 用戶端開啟本機偵錯連接埠。 本機的惡意使用者便可以利用此偵錯連接埠連接並控制 Zoom App,進而執行 Zoom 用戶端。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • macOS 版 (標準版和 IT 管理員版) Zoom Client for Meetings:從 5.10.6 開始到 5.12.0 之前的版本

來源: 由 Zoom 安全團隊舉報

ZSB-22022 10/11/2022 Zoom 內部部署:不當存取控制 危急 CVE-2022-28761

嚴重性: 危急

CVSS 分數: 6.5

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

說明: Zoom 內部部署會議連接器 MMR:4.8.20220916.131 之前的版本包含不當存取控制漏洞。 因此,經授權加入會議或網路研討會中的惡意源起方,能夠阻止與會者接收音訊和視訊並導致會議中斷。

對於 Zoom 內部部署,IT 管理員可以遵循以下操作以協助其 Zoom 軟體保持最新狀態:https://support.zoom.us/hc/en-us/articles/360043960031

受影響的產品:

  • Zoom 內部部署會議連接器 MMR:4.8.20220916.131 之前的版本

來源: 由 Zoom 攻擊性安全團隊舉報

ZSB-22021 09/13/2022 Zoom 內部部署:不當存取控制 危急 CVE-2022-28760

嚴重性: 危急

CVSS 分數: 6.5

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

說明: Zoom 內部部署會議連接器 MMR:4.8.20220815.130 之前的版本包含不當存取控制漏洞。 因此,惡意源起方可以加入他們有權加入的會議,而無需向其他與會者顯示。

對於 Zoom 內部部署,IT 管理員可以遵循以下操作以協助其 Zoom 軟體保持最新狀態:https://support.zoom.us/hc/en-us/articles/360043960031

受影響的產品:

  • Zoom 內部部署會議連接器 MMR:4.8.20220815.130 之前的版本

來源: 由 Zoom 攻擊性安全團隊舉報

ZSB-22020 09/13/2022 Zoom 內部部署:不當存取控制 危急 CVE-2022-28758
CVE-2022-28759

嚴重性: 危急

CVSS 分數: 8.2

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

說明: Zoom 內部部署會議連接器 MMR:4.8.20220815.130 之前的版本包含不當存取控制漏洞。 因此,惡意源起方可能會取得他們無權加入的會議的音訊和視訊饋送內容,並導致其他會議中斷。

對於 Zoom 內部部署,IT 管理員可以遵循以下操作以協助其 Zoom 軟體保持最新狀態:https://support.zoom.us/hc/en-us/articles/360043960031

受影響的產品:

  • Zoom 內部部署會議連接器 MMR:4.8.20220815.130 之前的版本

來源: 由 Zoom 安全團隊舉報

ZSB-22019 08/17/2022 macOS 版 Zoom Client for Meetings 的自動更新程式中的本機權限提升 危急 CVE-2022-28757

嚴重性: 危急

CVSS 分數: 8.8

CVSS 向量字串: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

說明: macOS 版 (標準版和 IT 管理員版) 的 Zoom Client for Meetings 從 5.7.3 開始到 5.11.6 之前的版本在自動更新程序中包含漏洞。 本機低權限使用者可以利用此漏洞將其權限提升為 root。

注意:此問題允許繞過 5.11.5 中發佈用於解決 CVE-2022-28756 的修補程式。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • macOS 版 (標準版和 IT 管理員版) Zoom Client for Meetings:從 5.7.3 開始到 5.11.6 之前的版本

來源: 由攻擊性安全的 Csaba Fitzl (theevilbit) 舉報

ZSB-22018 08/13/2022 macOS 版 Zoom 產品的自動更新程式中的本機權限提升 [Updated 2022-09-13] 危急 CVE-2022-28756

嚴重性: 危急

CVSS 分數: 8.8

CVSS 向量字串: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

說明: macOS 版 (標準版和 IT 管理員版) 的 Zoom Client for Meetings 從 5.7.3 開始到 5.11.5 之前的版本,以及 macOS 版會議室專用 Zoom Rooms 5.11.6 之前的版本,在自動更新程序中包含漏洞。 本機低權限使用者可以利用此漏洞將其權限提升為 root。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

*變更 - 2022-09-13 - 已更新標題、描述,和新增 Zoom Rooms 到「受影響的產品」區段。

受影響的產品:

  • macOS 版 (標準版和 IT 管理員版) Zoom Client for Meetings:從 5.7.3 開始到 5.11.5 之前的版本
  • macOS 版會議室用 Zoom Rooms:5.11.6 之前的版本

來源: 提報者:Objective-See 的 Patrick Wardle

ZSB-22017 08/09/2022 macOS 版 Zoom Client for Meetings 中的本機權限提升 危急 CVE-2022-28751

嚴重性: 危急

CVSS 分數: 8.8

CVSS 向量字串: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

說明: 5.11.3 版之前的 macOS 版 (標準版和 IT 管理員版) Zoom Client for Meetings 在更新過程中的套件簽名驗證中存在一個漏洞。 本機低權限使用者可以利用此漏洞將其權限提升為 root。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • macOS 版 (標準版和 IT 管理員版) Zoom Client for Meetings:5.11.3 之前的版本

來源: 提報者:Objective-See 的 Patrick Wardle

ZSB-22014 08/09/2022 Zoom 內部部署:不當存取控制 危急 CVE-2022-28753
CVE-2022-28754

嚴重性: 危急

CVSS 分數: 7.1

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N

說明: Zoom 內部部署會議連接器 MMR:4.8.129.20220714 之前的版本包含不當存取控制漏洞。 因此,惡意源起方可以加入他們有權加入的會議,而無需向其他與會者顯示,可允許自己從等候室進入會議,並可能成為主持人並導致其他會議中斷。

對於 Zoom 內部部署,IT 管理員可以遵循以下操作以協助其 Zoom 軟體保持最新狀態:https://support.zoom.us/hc/en-us/articles/360043960031

受影響的產品:

  • Zoom 內部部署會議連接器 MMR:4.8.129.20220714 之前的版本

來源: 由 Zoom 攻擊性安全團隊舉報

ZSB-22016 08/09/2022 Zoom 用戶端中不當 URL 剖析 [Updated 2022-10-24] 危急 CVE-2022-28755

嚴重性: 危急

CVSS 分數: 9.6

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

說明: 5.11.0 版之前的 (Android、iOS、Linux、macOS 和 Windows 版) Zoom Client for Meetings 容易受到 URL 剖析漏洞的影響。 如果打開惡意的 Zoom 會議 URL,惡意連結可能會指示使用者連接到任意網路位址,從而導致其他攻擊,包括透過從任意路徑啟動可執行檔來遠端執行程式碼的可能性。

*變更 - 2022-10-24 - 新增 Zoom Rooms 到「受影響的產品」區段。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.11.0 版本之前的 (Android、iOS、Linux、macOS 和 Windows 版) Zoom Client for Meetings

來源: 由 Zoom 攻擊性安全團隊舉報

ZSB-22012 08/09/2022 Zoom 內部部署:會議連接器中的堆疊緩衝區溢出 危急 CVE-2022-28750

嚴重性: 危急

CVSS 分數: 7.5

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

說明: 4.8.20220419.112 版本之前的 Zoom 內部部署會議連接器區域控制器 (ZC) 無法正確剖析 STUN 錯誤代碼,這可能導致記憶體損壞,並可能允許惡意源起方使應用程式當機。 在早於 4.8.12.20211115 的版本中,還可以利用此漏洞執行任意程式碼。

對於 Zoom 內部部署,IT 管理員可以遵循以下指引以協助其 Zoom 軟體保持最新狀態:https://support.zoom.us/hc/en-us/articles/360043960031

受影響的產品:

  • Zoom 內部部署會議連接器區域控制器 (ZC):4.8.20220419.112 之前的版本

來源: 由 Zoom 攻擊性安全團隊舉報

ZSB-22011 06/14/2022 會議期間加入授權檢查不足 危急 CVE-2022-28749

嚴重性: 危急

CVSS 分數: 6.5

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

說明: Zoom 內部部署會議連接器 MMR:4.8.113.20220526 之前的版本,無法正確檢查 Zoom 會議觀眾的權限。 因此,Zoom 等候室中的攻擊者,可以不經主持人同意就加入會議。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 內部部署會議連接器:4.8.113.20220526 之前的版本

來源: 由 Zoom 攻擊性安全團隊舉報

ZSB-22010 06/14/2022 Zoom 和 Zoom Rooms 設備的 Zoom Operner 安裝程式中發現 DLL 注入 危急 CVE-2022-22788

嚴重性: 危急

CVSS 分數: 7.1

CVSS 向量字串: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

說明: Zoom Opener 安裝程式是尚未安裝 Zoom 會議用戶端的使用者試圖從啟動會議頁面加入會議時,所下載的安裝程式。 適用於 Zoom Client for Meetings 的 Zoom Opener 安裝程式 5.10.3 之前的版本,以及適用於 Windows 的會議室用的 Zoom Rooms 5.10.3 之前的版本,容易遭受 DLL 注入攻擊。 此漏洞可能遭利用於受害者的主機上執行任意程式碼。

使用者可移除舊版的 Zoom Opener 安裝程式,以保護自己的安全,並且從「啟動會議」頁面上的「立即下載」按鈕,執行最新版的 Zoom Opener 安裝程式。 使用者可從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新) 以保護自己的安全。

受影響的產品:

  • Windows 版 Zoom Client for Meetings:5.10.3 之前的版本
  • 5.10.3 版本之前的所有 Windows 版會議室專用 Zoom Rooms

來源: 由 James Tsz Ko Yeung 舉報

ZSB-22009 05/17/2022 在 Zoom Client for Meetings 中伺服器切換期間主機名稱驗證不足 危急 CVE-2022-22787

嚴重性: 危急

CVSS 分數: 5.9

CVSS 向量字串: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

說明: 5.10.0 版本之前的 (Android、iOS、Linux、macOS 和 Windows 版) Zoom Client for Meetings 在伺服器切換請求期間無法正確驗證主機名稱。 此問題可用於更複雜的攻擊,欺騙毫無戒心的使用者用戶端在嘗試使用 Zoom 服務時連接到惡意伺服器。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.10.0 版本之前的 (Android、iOS、Linux、macOS 和 Windows 版) Zoom Client for Meetings

來源: 由 Google Project Zero 的 Ivan Fratric 舉報

ZSB-22008 05/17/2022 Windows 版 Zoom Client for Meetings 中的更新套件降級 危急 CVE-2022-22786

嚴重性: 危急

CVSS 分數: 7.5

CVSS 向量字串: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

說明: 5.10.0 版本之前的 Windows 版 Zoom Client for Meetings 和 5.10.0 版本之前的 Windows 版會議室專用 Zoom Rooms 在更新過程中無法正確檢查安裝版本。 此問題可用於更複雜的攻擊,欺騙使用者將其 Zoom Client 降級為較不安全的版本。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.10.0 版本之前的所有 Windows 版 Zoom Client for Meetings
  • 5.10.0 版本之前的所有 Windows 版會議室專用 Zoom Rooms

來源: 由 Google Project Zero 的 Ivan Fratric 舉報

ZSB-22007 05/17/2022 Zoom Client for Meetings 中的工作階段 Cookie 限制不當 危急 CVE-2022-22785

嚴重性: 危急

CVSS 分數: 5.9

CVSS 向量字串: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

說明: 5.10.0 版本之前的 (Android、iOS、Linux、macOS 和 Windows 版) Zoom Client for Meetings 無法將用戶端工作階段 Cookie 正確限制於 Zoom 網域。 此問題可用於更複雜的攻擊,將使用者的 Zoom 範圍工作階段 Cookie 傳送至非 Zoom 網域。 這可能會造成 Zoom 使用者遭到盜用。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.10.0 版本之前的 (Android、iOS、Linux、macOS 和 Windows 版) Zoom Client for Meetings

來源: 由 Google Project Zero 的 Ivan Fratric 舉報

ZSB-22006 05/17/2022 Zoom Client for Meetings 中不正確的 XML 剖析 危急 CVE-2022-22784

嚴重性: 危急

CVSS 分數: 8.1

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

說明: 5.10.0 版本之前的 (Android、iOS、Linux、macOS 和 Windows 版) Zoom Client for Meetings 無法正確剖析 XMPP 訊息中的 XML 字節。 這會讓惡意使用者破壞目前的 XMPP 訊息內容並建立新的訊息內容,讓接收使用者的用戶端執行各種操作。 此問題可用於更複雜的攻擊,從伺服器偽造 XMPP 訊息。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.10.0 版本之前的 (Android、iOS、Linux、macOS 和 Windows 版) Zoom Client for Meetings

來源: 由 Google Project Zero 的 Ivan Fratric 舉報

ZSB-22005 04/27/2022 Zoom 內部部署會議服務發生處理記憶體暴露 危急 CVE-2022-22783

嚴重性: 危急

CVSS 分數: 8.3

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/CR:H

說明: Zoom 內部部署會議連接器控制器版本 4.8.102.20220310 和內部部署會議連接器 MMR 版本 4.8.102.20220310 中的漏洞向連接的用戶端公開處理記憶體片段,被動攻擊者可能會觀察到這些漏洞。

使用者可套用目前的更新或下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • Zoom 內部部署會議連接器控制器 4.8.102.20220310 版本
  • Zoom 內部部署會議連接器 MMR 版本 4.8.102.20220310

來源: Zoom 攻擊性安全團隊

ZSB-22004 04/27/2022 Windows Zoom 用戶端中的本機權限提升 危急 CVE-2022-22782

嚴重性: 危急

CVSS 分數: 7.9

CVSS 向量字串: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

說明: 5.9.7 版之前的 Windows 版 Zoom Client for Meetings、5.10.0 版之前的 Windows 版 Zoom Rooms 會議室、5.10.3 版之前的 Windows 版 Microsoft Outlook 專用 Zoom 外掛程式,以及版本 5.9.6 之前的 Zoom VDI Windows Meeting Client;在安裝程式修復操作期間容易受到本機權限提升問題的影響。 惡意源起方可能會利用此漏洞刪除系統層級檔案或資料夾,導致使用者主機機器上的完整性或可用性問題。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.9.7 版之前的所有 Windows 版 Zoom Client for Meetings
  • 5.10.0 版之前的 Windows 版 Zoom Rooms 會議室
  • 5.10.3 版之前的所有 Windows 版 Microsoft Outlook 專用 Zoom 外掛程式
  • 5.9.6 版之前的所有 Zoom VDI Windows Meeting Client

來源: 提報者:Zero Day Initiative

ZSB-22003 04/27/2022 macOS 版 Zoom Client for Meetings 中的更新套件降級 危急 CVE-2022-22781

嚴重性: 危急

CVSS 分數: 7.5

CVSS 向量字串: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

說明: 5.9.6 版之前的 macOS 版 Zoom Client for Meetings (標準版和 IT 管理員版) 在更新過程中無法正確檢查套件版本。 這可能導致惡意源起方將毫無戒心的使用者已安裝的版本更新為安全性較低的版本。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.9.6 版之前的 macOS 版 Zoom Client for Meetings (標準版和 IT 管理員版)

來源: 提報者:Objective-See 的 Patrick Wardle

ZSB-22002 02/08/2022 Zoom Team Chat 容易受到 Zip Bombing 的影響 危急 CVE-2022-22780

嚴重性: 危急

CVSS 分數: 4.7

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L

說明: Zoom Client for Meetings 聊天功能在以下產品版本中容易受到 Zip Bombing 攻擊的影響:Android 5.8.6 之前的版本、iOS 5.9.0 之前的版本、Linux 5.8.6 之前的版本、macOS 5.7.3 之前的版本,以及 Windows 5.6.3 之前的版本。 這種攻擊可能會耗盡系統資源,造成用戶端主機無法使用。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 所有 Android 版 Zoom Client for Meetings:5.8.6 之前的版本
  • 所有 iOS 版 Zoom Client for Meetings:5.9.0 之前的版本
  • 所有 Linux 版 Zoom Client for Meetings:5.8.6 之前的版本
  • 所有 macOS 版 Zoom Client for Meetings:5.7.3 之前的版本
  • 所有 Windows 版 Zoom Client for Meetings:5.6.3 之前的版本

來源: 由 Walmart Global Tech 的 Johnny Yu 舉報

ZSB-22001 02/08/2022 macOS 和 Windows 版 Keybase 用戶端中保留的爆炸訊息 危急 CVE-2022-22779

嚴重性: 危急

CVSS 分數: 3.7

CVSS 向量字串: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

說明: Keybase Client macOS 和 Windows 版 5.9.0 之前的版本,無法正確移除使用者發起的爆炸訊息。 如果接收的使用者切換到非聊天功能,並在傳送使用者爆炸消息之前使主機處於睡眠狀態,將可能會發生上述情況。 這可能導致原本應已從使用者的裝置中刪除的敏感資訊洩漏。

使用者可套用目前的更新,或從 https://keybase.io/download 下載最新的 Keybase 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 所有 macOS 和 Windows 版 Keybase Client:5.9.0 之前的版本

來源: 由 Olivia O'Hara 舉報

ZSB-21022 12/14/2021 在 Windows 版 Keybase Client 中執行任意命令 危急 CVE-2021-34426

嚴重性: 危急

CVSS 分數: 5.3

CVSS 向量字串: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

說明: 在 �Windows 版 Keybase Client 5.6.0 之前的版本中,使用者在命令列執行「keybase git lfs-config」命令時發現漏洞。 5.6.0 之前的版本中,含使用者 Git 存放庫寫入權限的惡意源起方,可利用此漏洞在使用者的本機系統上執行任意 Windows 命令。

使用者可套用目前的更新,或從 https://keybase.io/download 下載最新的 Keybase 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 所有 Windows 版 Keybase Client:5.6.0 之前的版本

來源: 提報者:RyotaK

ZSB-21021 12/14/2021 在 Zoom Client for Meetings 聊天中偽造伺服器端請求 危急 CVE-2021-34425

嚴重性: 危急

CVSS 分數: 4.7

CVSS 向量字串: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N

說明: (Android、iOS、Linux、macOS 和 Windows 版) Zoom Client for Meetings 5.7.3 之前的版本,在聊天的「連結預覽」功能中,包含偽造伺服器端請求的漏洞。 在 5.7.3 之前的版本中,如果使用者啟用聊天的「連結預覽」功能,惡意源起方會欺騙使用者向源起方無法直接觸及的 URL 傳送任意 HTTP GET 請求。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 所有 (Android、iOS、Linux、macOS 和 Windows 版) Zoom Client for Meetings:5.7.3 之前的版本

來源: 由 Walmart Global Tech 的 Johnny Yu 舉報

ZSB-21020 11/24/2021 Zoom Client 和其他產品發生處理記憶體暴露 危急 CVE-2021-34424

嚴重性: 危急

CVSS 分數: 5.3

CVSS 向量字串: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

說明: 本佈告欄中「受影響的產品」區段所列出的產品中發現漏洞,此漏洞可能會暴露處理記憶體的狀態。 此問題可用來獲取任意區域的產品記憶體狀態。

Zoom 在下面區段列出的最新版本產品中已解決該問題。 使用者可套用目前的更新或下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

來源: 由 Google Project Zero 的 Natalie Silvanovich 舉報

ZSB-21019 11/24/2021 Zoom Client 和其他產品發生緩衝區溢位 危急 CVE-2021-34423

嚴重性: 危急

CVSS 分數: 7.3

CVSS 向量字串: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

說明: 本佈告欄中「受影響的產品」區段所列出的產品中發現緩衝區溢位漏洞。 此漏洞可能會允許惡意源起方損毀服務或應用程式,或者利用此漏洞執行任意程式碼。

Zoom 在下面區段列出的最新版本產品中已解決該問題。 使用者可套用目前的更新或下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

來源: 資料來源:由 Google Project Zero 的 Natalie Silvanovich 舉報

ZSB-21018 11/09/2021 Windows 版 Keybase Client 發生檔案名稱路徑穿越 危急 CVE-2021-34422

嚴重性: 危急

CVSS 分數: 7.2

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

說明: Windows 版 Keybase Client 5.7.0 之前的版本,檢查上傳至團隊資料夾的檔案名稱時包含路徑穿越漏洞。 惡意使用者可以上傳含特製檔案名稱的檔案至共享的資料夾,允許使用者執行主機機器上不存在的應用程式。 如果惡意使用者透過 Keybase 用戶端公開資料夾的共享功能來利用此問題,則可能導致遠端程式碼執行。

Keybase 已在 Windows 版 Keybase Client 5.7.0 版本中解決此問題。 使用者可套用目前的更新,或從 https://keybase.io/download 下載最新的 Keybase 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • Windows 版 Keybase Client:5.7.0 之前的版本

來源: 由 m4t35z 舉報

ZSB-21017 11/09/2021 Android 和 iOS 版 Keybase 用戶端中保留的爆炸訊息 危急 CVE-2021-34421

嚴重性: 危急

CVSS 分數: 3.7

CVSS 向量字串: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

說明: Android 版 Keybase Client 5.8.0 之前的版本和 iOS 版 Keybase Client 5.8.0 之前的版本,如果接收者將聊天工作階段置於背景,而傳送者同時引爆訊息,則無法正確移除使用者發起的爆炸訊息。 這可能導致敏感資訊洩漏,而這些資訊原本應從客戶的裝置中移除。

Keybase 已在 Android 版 Keybase Client 5.8.0 版本和 iOS 版 Keybase Client 5.8.0 版本中解決此問題。 使用者可套用目前的更新,或從 https://keybase.io/download 下載最新的 Keybase 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 所有 Android 版 Keybase Client:5.8.0 之前的版本
  • 所有 iOS 版 Keybase Client:5.8.0 之前的版本

來源: 由 Olivia O'Hara、John Jackson、Jackson Henry 和 Robert Willis 舉報

ZSB-21016 11/09/2021 Zoom Windows 安裝檔案繞過可執行的簽名檔 危急 CVE-2021-34420

嚴重性: 危急

CVSS 分數: 4.7

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N

說明: 適用於 Windows 安裝程式的 Zoom Client for Meetings 5.5.4 之前的版本,無法正確驗證副檔名為 .msi、.ps1 和 .bat 的簽名檔。 這可能導致惡意源起方在客戶的電腦上安裝惡意軟體。

Zoom 已在 Windows 版 Zoom Client for Meetings 5.5.4 版本中解決此問題。 使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 所有 Windows 版 Zoom Client for Meetings:5.5.4 之前的版本

來源: 由 ManoMano 的 Laurent Delosieres 舉報

ZSB-21015 11/09/2021 Zoom Linux 用戶端中的 HTML 插入 危急 CVE-2021-34419

嚴重性: 危急

CVSS 分數: 3.7

CVSS 向量字串: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

說明: 在 Ubuntu Linux 版 Zoom Client for Meetings 5.1.0 之前的版本,會議中畫面分享的過程中,向使用者傳送遠端控制請求時,發現 HTML 插入的缺陷。 這可能會讓會議與會者成為社交工程攻擊的目標。

Zoom 已在 Ubuntu Linux 版 Zoom Client for Meetings 5.1.0 版本中解決此問題。 使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全

受影響的產品:

  • Ubuntu Linux 版 Zoom Client for Meetings:5.1.0 之前的版本

來源: 由 hackdefense 的 Danny de Weille 和 Rick Verdoes 舉報

ZSB-21014 11/09/2021 預先驗證的 Null 指標損毀內部部署網路控制台 危急 CVE-2021-34418

嚴重性: 危急

CVSS 分數: 4.0

CVSS 向量字串: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

說明: 本佈告欄中「受影響的產品」區段所列出的產品,在網路控制台的登入服務中,無法在驗證時確認是否傳送 NULL 位元組。 這可能會導致登入服務損毀。

受影響的產品:

  • Zoom 內部部署會議連接器控制器:4.6.239.20200613 之前的版本
  • Zoom 內部部署會議連接器 MMR:4.6.239.20200613 之前的版本
  • Zoom 內部部署錄製連接器:3.8.42.20200905 之前的版本
  • Zoom 內部部署虛擬會議室連接器:4.4.6344.20200612 之前的版本
  • Zoom 內部部署虛擬會議室連接器負載平衡器:2.5.5492.20200616 之前的版本

來源: 由 Jeremy Brown 舉報

ZSB-21013 11/09/2021 透過 MMR 的網路控制台,以根權限執行身分驗證的遠端命令 危急 CVE-2021-34417

嚴重性: 危急

CVSS 分數: 7.9

CVSS 向量字串: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N

說明: 本佈告欄中「受影響的產品」區段所列出的產品,在 Web Portal 的網路代理頁面,無法確認在設定網路 Proxy 密碼請求時傳送的輸入。 這可能會導致透過 Web Portal 管理員遠端命令插入。

受影響的產品:

  • Zoom 內部部署會議連接器控制器:4.6.365.20210703 之前的版本
  • Zoom 內部部署會議連接器 MMR:4.6.365.20210703 之前的版本
  • Zoom 內部部署錄製連接器:3.8.45.20210703 之前的版本
  • Zoom 內部部署虛擬會議室連接器:4.4.6868.20210703 之前的版本
  • Zoom 內部部署虛擬會議室連接器負載平衡器:2.5.5496.20210703 之前的版本

來源: 由 Jeremy Brown 舉報

ZSB-21012 09/30/2021 透過 Web Portal 針對內部部署影像執行遠端程式碼 危急 CVE-2021-34416

嚴重性: 危急

CVSS 分數: 5.5

CVSS 向量字串: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N

說明: 針對 Zoom 內部部署會議連接器 4.6.360.20210325 之前的版本、Zoom 內部部署會議連接器 MMR 4.6.360.20210325 之前的版本、Zoom 內部部署錄製連接器 3.8.44.20210326 之前的版本、Zoom 內部部署虛擬會議室連接器 4.4.6752.20210326 之前的版本,及 Zoom 內部部署虛擬會議室連接器負載平衡器 2.5.5495.20210326,Web Portal 的網路位址管理設定,無法確認更新網路設定請求中所傳送的輸入,這可能導致透過 Web Portal 管理員對內部部署影像進行遠端命令插入。

受影響的產品:

  • Zoom 內部部署會議連接器:4.6.360.20210325 之前的版本
  • Zoom 內部部署會議連接器 MMR:4.6.360.20210325 之前的版本
  • Zoom 內部部署錄製連接器:3.8.44.20210326 之前的版本
  • Zoom 內部部署虛擬會議室連接器:4.4.6752.20210326 之前的版本
  • Zoom 內部部署虛擬會議室連接器負載平衡器:2.5.5495.20210326 之前的版本

來源: 由 Positive Technologies 的 Egor Dimitrenko 舉報

ZSB-21011 09/30/2021 ZC 使用 PDU 導致許多資源分配損毀 危急 CVE-2021-34415

嚴重性: 危急

CVSS 分數: 7.5

CVSS 向量字串: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

說明: 在 Zoom 內部部署會議連接器控制器 4.6.358.20210205 之前的版本中的 Zoom 控制器服務,無法確認網路封包傳入的 cnt 欄位,導致資源耗盡和系統損毀。

受影響的產品:

  • Zoom 內部部署會議連接器控制器:4.6.358.20210205 之前的版本

來源: 由 Positive Technologies 的 Nikita Abramov 舉報

ZSB-21010 09/30/2021 透過 Web Portal 網路 Proxy 設定,針對會議連接器遠端執行程式碼 危急 CVE-2021-34414

嚴重性: 危急

CVSS 分數: 7.2

CVSS 向量字串: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

說明: 針對 Zoom 內部部署會議連接器控制器 4.6.348.20201217 之前的版本、Zoom 內部部署會議連接器 MMR 4.6.348.20201217 之前的版本、Zoom 內部部署錄製連接器 3.8.42.20200905 之前的版本、Zoom 內部部署虛擬會議室連接器 4.4.6620.20201110 之前的版本,及 Zoom 內部部署虛擬會議室連接器負載平衡器 2.5.5495.20210326 之前的版本,Web Portal 的網路 Proxy 頁面,無法確認更新網路 Proxy 設定請求中所傳送的輸入,這可能導致透過 Web Portal 管理員對內部部署影像進行遠端命令插入。

受影響的產品:

  • Zoom 內部部署會議連接器控制器:4.6.348.20201217 之前的版本
  • Zoom 內部部署會議連接器 MMR:4.6.348.20201217 之前的版本
  • Zoom 內部部署錄製連接器:3.8.42.20200905 之前的版本
  • Zoom 內部部署虛擬會議室連接器:4.4.6620.20201110 之前的版本
  • Zoom 內部部署虛擬會議室連接器負載平衡器:2.5.5495.20210326 之前的版本

來源: 由 Positive Technologies 的 Egor Dimitrenko 舉報

ZSB-21009 09/30/2021 Zoom macOS Outlook 外掛安裝程式本機權限提升 危急 CVE-2021-34413

嚴重性: 危急

CVSS 分數: 2.8

CVSS 向量字串: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N

說明: 所有 Microsoft Outlook for macOS 的 Zoom 外掛程式:5.3.52553.0918 之前的版本,在外掛程式安裝的過程中,都包含檢查時間和使用時間 (TOC/TOU) 漏洞。 這可能會導致標準使用者將自己的惡意應用程式寫入外掛程式目錄中,允許惡意應用程式在獲得權限的環境下執行。

受影響的產品:

  • 所有 Microsoft Outlook for macOS 的 Zoom 外掛程式版本:5.3.52553.0918 之前的版本

來源: 由 Lockheed Martin 的紅色團隊 (Red Team) 舉報

ZSB-21008 09/30/2021 Windows 版 Zoom 安裝程式本機權限提升 危急 CVE-2021-34412

嚴重性: 危急

CVSS 分數: 4.4

CVSS 向量字串: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

說明: 所有 Windows 版 Zoom Client for Meetings:5.4.0 之前的版本,在安裝過程中有可能會啟動 Internet Explorer。 如果安裝程式使用較高的權限啟動 (例如:SCCM) 則可能導致本機權限提升。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • Windows 版 Zoom Client for Meetings:5.4.0 之前的版本

來源: 由 Lockheed Martin 的紅色團隊 (Red Team) 舉報

ZSB-21007 09/30/2021 Zoom Rooms 安裝程式本機權限提升 危急 CVE-2021-34411

嚴重性: 危急

CVSS 分數: 4.4

CVSS 向量字串: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

說明: 在 Windows 版 Zoom Rooms 會議室 5.3.0 之前的版本安裝過程中,有可能使用較高的權限啟動 Internet Explorer。 如果安裝程式使用較高的權限啟動 (例如:SCCM) 則可能導致本機權限提升。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • Windows 版 Zoom Rooms 會議室:5.3.0 之前的版本
  • Zoom Rooms 會議室:5.1.0 之前的版本

來源: 由 Lockheed Martin 的紅色團隊 (Red Team) 舉報

ZSB-21004 09/30/2021 Zoom MSI 安裝程式使用連結點提升寫入權限 危急 CVE-2021-34408

嚴重性: 危急

CVSS 分數: 7.0

CVSS 向量字串: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

說明: 在 Windows 版 Zoom Client for Meetings 5.3.2 之前的版本安裝過程中,會建立使用者寫入目錄,使用連結點將位置重新導向至另一個位置。 這可以讓攻擊者覆寫受限使用者無法修改的檔案。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • Windows 版 Zoom Client for Meetings:5.3.2 之前的版本

來源: 由 Lockheed Martin 的紅色團隊 (Red Team) 舉報

ZSB-21003 09/30/2021 Windows Zoom 安裝程式繞過數位簽章 危急 CVE-2021-33907

嚴重性: 危急

CVSS 分數: 7.0

CVSS 向量字串: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H/MPR:N/MUI:R/MS:U/MC:H/MI:H/MA:H

說明: 所有 Windows 版 Zoom Client for Meetings 5.3.0 之前的版本,在執行用戶端更新時,皆無法正確驗證用於簽署 .msi 檔案的認證資訊。 這可能會導致在較高權限環境中遠端執行程式碼。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 所有 Windows 版 Zoom Client for Meetings:5.3.0 之前的版本

來源: 由 Lockheed Martin 的紅色團隊 (Red Team) 舉報

ZSB-21002 08/13/2021 來自可擴展訊息及呈現協議 (XMPP) 的訊息未經檢查寫入靜態緩衝區,導致堆積溢位 危急 CVE-2021-30480

嚴重性: 危急

CVSS 分數: 8.1

CVSS 向量字串: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H

說明: 所有 Zoom Client for Meetings 5.6.3 版以前的桌面版都存在堆積型緩衝區溢位的風險。 這項發現是溫哥華舉行的 2021 Pwn20wn 大會中的一部分,已經通報給 Zoom。 Pwn20wn 大會上展示的攻擊鏈,已經從 Zoom 基礎設施中的伺服器端變更,於 2021 年 4 月 9 日緩解此問題。

當結合另外兩個在 Pwn20wn 大會期間通報的問題 - 不正確的 URL 驗證,發送可擴展訊息及呈現協議 (XMPP) 訊息存取 Zoom Marketplace 應用程式 URL,以及播放 GIPHY 影像時不正確的 URL 驗證 - 將導致惡意使用者可以在目標電腦上成功遠端執行代碼。
遭到攻擊的目標,之前必須接受惡意使用者的連接請求,或是與惡意使用者進行多名使用者聊天,攻擊才能成功。 Pwn20wn 大會上展示的攻擊鏈,對受攻擊的目標來說非常明顯,導致發生多個用戶端通知。

使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 所有 Zoom Client for Meetings 5.6.3 以前的桌面版

來源: 由 Daan Keuper 和 Thijs Alkemade 透過零時差計畫 (Zero Day Initiative) 中的競賽通報

ZSB-21001 03/26/2021 應用程式視窗畫面分享功能 危急 CVE-2021-28133

嚴重性: 危急

CVSS 分數: 5.7

CVSS 向量字串: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

說明: Zoom Windows 與 Linux 用戶端的畫面分享功能受到安全漏洞的影響,當分享個別應用程式畫面時,如「參與分享者」最小化、最大化或關閉其他視窗時,其他與會者可能會短暫看見分享畫面使用者未明確開放分享的程式畫面內容。

Zoom 在 Zoom Windows 用戶端 5.6 版提供幾項防護措施,可降低 Windows 使用者發生問題的機率。 我們會持續針對受影響的所有平台提出解決方法。

針對 Ubuntu 使用者,Zoom 也已在 2021 年 3 月 1 日的 Zoom Linux Client 5.5.4 版解決該問題。 使用者可套用目前的更新、或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新)。

受影響的產品:

  • 所有 Windows Zoom Client 版本
  • 5.5.4 之前的 Linux Zoom Client 版本 (Ubuntu)
  • 在其他支援發行之所有 Linux 用戶端版本

來源: 發現者 Michael Stramez 與 Matthias Deeg。

ZSB-20002 08/14/2020 Zoom 分享服務中的 Windows DLL 危急 CVE-2020-9767

嚴重性: 危急

CVSS 分數: 7.8

CVSS 向量字串: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

說明: Zoom 分享服務所下載的動態連結程式庫 (以下稱「DLL」) 的相關漏洞,可能允許 Windows 本機使用者權限提高為 NT AUTHORITY/SYSTEM 使用者。

產生該漏洞的原因是載入已簽署可執行檔時,未充分檢查動態載入 DLL 的簽署。 攻擊者可利用這個漏洞,將惡意 DLL 植入已簽署的 Zoom 可執行檔,並用它啟動更高權限的程序。

Zoom Client 5.0.4 版已解決該問題。 使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 5.0.4 之前的 Zoom Windows 安裝程式 (ZoomInstallerFull.msi) 版本

來源: Context Information Security 公司 Connor Scott

ZSB-20001 05/04/2020 Zoom IT 安裝程式 (適用 Windows) 危急 CVE-2020-11443

嚴重性: 危急

CVSS 分數: 基本:8.4

CVSS 向量字串: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

說明: 刪除檔案時,Zoom Windows 安裝程式處理連結點的方法存在漏洞,該漏洞可能允許 Windows 本機使用者刪除原本無法由使用者刪除的檔案。

產生該漏洞的原因是目錄中的連結點檢查不夠充分,上述目錄是安裝程式刪除檔案的目錄 (檔案允許標準使用者改寫)。 惡意本機使用者可利用這個漏洞在受影響的目錄中建立連結點,而該目錄指向受保護的系統檔案或使用者沒有權限的其他檔案。 如同由管理部署軟體執行,利用更高權限執行 Zoom Windows 安裝程式就可以從系統刪除那些檔案。

Zoom Client 4.6.10 版已解決該問題。 使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • 4.6.10 之前的 Zoom Windows 安裝程式 (ZoomInstallerFull.msi) 版本

來源: 感謝 Lockheed Martin 的紅色團隊 (Red Team)。

ZSB-19003 07/12/2019 ZoomOpener 幕後執行程式 危急 CVE-2019-13567

嚴重性: 危急

CVSS 分數: 基本:7.5

CVSS 向量字串: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

說明: Zoom macOS 用戶端中的漏洞讓攻擊者有機會將惡意軟體下載到受害者的裝置。

產生該漏洞的原因是由於 ZoomOpener 助手應用程式中的不當輸入驗證和下載軟體驗證。 攻擊者可利用這個漏洞,以攻擊者身分使用受害者裝置下載檔案。 只要安裝 Zoom Client,攻擊者就無法得逞。

Zoom Client 4.4.52595.0425 版已解決該問題。 使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • Zoom macOS 用戶端:4.4.52595.0425 之前的版本和 4.1.27507.0627 之後的版本

來源: 未知。

ZSB-19002 07/09/2019 預設視訊設定 危急 CVE-2019-13450

嚴重性: 危急

CVSS 分數: 基本:3.1

CVSS 向量字串: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

說明: macOS Zoom 和 RingCentral 用戶端中的漏洞可能允許遠端、未授權的攻擊者在使用者攝影機啟動時強行開啟視訊通話。

產生該漏洞的原因是授權控制不足,無法檢查連接埠 19421 本機 Zoom Web 伺服器通訊對象之系統為何。 攻擊者可利用這個漏洞建立惡意網站,使 Zoom Client 自動加入攻擊者所設定的會議。

Zoom 在 2019 年 7 月 14 日發布的 Client 4.4.5 版新增一項功能,會在使用者加入會議前顯示新視訊預覽對話方塊。 此對話方塊可讓使用者決定與會時是否要開啟視訊,並要求使用者設定預設視訊狀態。 Zoom 呼籲客戶至 https://zoom.us/download 下載安裝最新的 Zoom Client 版本。

受影響的產品:

  • Zoom macOS 用戶端:4.4.5 之前的版本
  • RingCentral macOS 用戶端:4.4.5 之前的版本

來源: 發現者 Jonathan Leitschuh。

ZSB-19001 07/09/2019 阻斷服務攻擊 - macOS 危急 CVE-2019-13449

嚴重性: 危急

CVSS 分數: 基本:3.1

CVSS 向量字串: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

說明: macOS Zoom 用戶端中的漏洞可能允許遠端、未授權的攻擊者觸發受害者系統的阻斷服務條件。

產生該漏洞的原因是授權控制不足,無法檢查連接埠 19421 本機 Zoom Web 伺服器通訊對象之系統為何。 攻擊者可利用這個漏洞建立惡意網站,強迫 Zoom Client 不斷使用無效的會議 ID 試圖加入會議。 無止境的重複動作將癱瘓 Zoom Client,並可能對執行 Zoom 系統的效能造成影響。

Zoom 在 2019 年 4 月 28 日 發布的 macOS 用戶端 4.4.2 修正版已解決該問題。 使用者可套用目前的更新或從 https://zoom.us/download 下載最新的 Zoom 軟體 (含目前所有安全更新),以保護自己的安全。

受影響的產品:

  • Zoom macOS 用戶端:4.4.5 之前的版本
  • RingCentral macOS 用戶端:4.4.5 之前的版本

來源: 發現者 Jonathan Leitschuh。

No results found

請提供您的個人電子郵件地址以接收未來 Zoom 安全佈告欄的通知。 (附註:電子郵件別名將不會收到此通知。)