Boletim de segurança
Boletim de segurança
A Zoom não fornece, a clientes individuais, orientações relacionadas às consequências de vulnerabilidade de um Boletim de Segurança Zoom, nem fornece detalhes adicionais sobre dada vulnerabilidade. Recomendamos que os usuários façam a atualização para a última versão do software Zoom para obter as correções e as melhorias de segurança mais recentes.
ZSB | Data | Título | Gravidade | CVE (se aplicável) | |
---|---|---|---|---|---|
|
ZSB-24008 | 02/13/2024 | Cliente Zoom para computador para Windows e cliente VDI do Zoom para Windows e SDK de reunião Zoom para Windows - Validação de entrada indevido | Crítica | CVE-2024-24691 |
Gravidade: Crítica Pontuação CVSS: 9.6 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Descrição: A validação de entrada indevida no Cliente Zoom para computador para Windows e cliente VDI do Zoom para Windows e SDK de reunião Zoom para Windows pode permitir que um usuário não autenticado habilite uma escalação de privilégio através do acesso à rede. Produtos afetados:
Fonte: Relatado pela Segurança ofensiva do Zoom. |
|||||
|
ZSB-24007 | 02/13/2024 | Clientes do Zoom - Validação de entrada indevida | Média | CVE-2024-24690 |
Gravidade: Média Pontuação CVSS: 5.4 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
Descrição: A Validação de entrada indevida em alguns clientes do Zoom pode permitir que um usuário autenticado a realizar uma negação de serviço através do acesso à rede. Produtos afetados:
Fonte: Relatado pela Segurança ofensiva do Zoom. |
|||||
|
ZSB-24006 | 02/13/2024 | Clientes Zoom - Erro de lógica de negócio | Média | CVE-2024-24699 |
Gravidade: Média Pontuação CVSS: 6.5 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Descrição: O erro de lógica de negócio com o chat dentro da reunião para alguns clientes do Zoom ode permitir que um usuário autenticado realize um vazamento de informações através do acesso à rede. Produtos afetados:
Fonte: Relatado pela Segurança ofensiva do Zoom. |
|||||
|
ZSB-24005 | 02/13/2024 | Clientes do Zoom - Autenticação indevida | Média | CVE-2024-24698 |
Gravidade: Média Pontuação CVSS: 4.9 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
Descrição: A autenticação indevida em alguns clientes Zoom pode permitir que usuário com privilégios realize um vazamento de informações através do acesso local. Produtos afetados:
Fonte: Relatado pela Segurança ofensiva do Zoom. |
|||||
|
ZSB-24004 | 02/13/2024 | Clientes Zoom - Caminho de pesquisa não confiável | Alta | CVE-2024-24697 |
Gravidade: Alta Pontuação CVSS: 7.2 Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
Descrição: O Caminho de pesquisa não confiável em alguns clientes Zoom Windows de 32-bit pode permitir que um usuário autenticado realize uma escalação de privilégio através de um acesso local. Produtos afetados:
Fonte: Denunciado por sim0nsecurity. |
|||||
|
ZSB-24003 | 02/13/2024 | Cliente Zoom para computador para Windows e cliente VDI do Zoom para Windows e SDK de reunião Zoom para Windows - Validação de entrada indevido | Média | CVE-2024-24696 |
Gravidade: Média Pontuação CVSS: 6.8 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N
Descrição: A validação de entrada indevida com chat dentro da reunião para o Cliente Zoom para computador para Windows e cliente VDI do Zoom para Windows e SDK de reunião Zoom para Windows pode permitir que um usuário autenticado realize um vazamento de informações através do acesso à rede. Produtos afetados:
Fonte: Comunicado por shmoul. |
|||||
|
ZSB-24002 | 02/13/2024 | Cliente Zoom para computador para Windows e cliente VDI do Zoom para Windows e SDK de reunião Zoom para Windows - Validação de entrada indevido | Média | CVE-2024-24695 |
Gravidade: Média Pontuação CVSS: 6.8 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N
Descrição: A validação de entrada indevida no Cliente Zoom para computador para Windows e cliente VDI do Zoom para Windows e SDK de reunião Zoom para Windows pode permitir que um usuário autenticado realize um vazamento de informações através do acesso à rede. Produtos afetados:
Fonte: Comunicado por shmoul. |
|||||
|
ZSB-24001 | 01/09/2024 | Cliente Zoom para computador para Windows e cliente VDI do Zoom para Windows e Zoom SDKs para Windows - Controle de acesso inadequado | Crítica | CVE-2023-49647 |
Gravidade: Crítica Pontuação CVSS: 8.8 Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Descrição: O controle de acesso inadequado no Cliente Zoom para computador para Windows e cliente VDI do Zoom para Windows e Zoom SDKs para Windows anteriores à versão 5.16.10 pode permitir que um usuário autenticado realize uma escalação de privilégio através do acesso local. Produtos afetados:
Fonte: Denunciado por sim0nsecurity. |
|||||
|
ZSB-23062 | 12/12/2023 | Clientes do Zoom - Autenticação indevida | Crítica | CVE-2023-49646 |
Gravidade: Crítica Pontuação CVSS: 5.4 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
Descrição: Autenticação indevida em alguns clientes Zoom anteriores à versão 5.16.5 pode permitir que um usuário autenticado realize uma negação de serviço através do acesso à rede. Produtos afetados:
Fonte: Relatado pela equipe de segurança ofensiva do Zoom. |
|||||
|
ZSB-23059 | 12/12/2023 | Cliente Zoom para computador para Windows e cliente VDI do Zoom para Windows e Zoom SDKs para Windows - Ataque de passagem | Crítica | CVE-2023-43586 |
Gravidade: Crítica Pontuação CVSS: 7.3 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N
Descrição: O ataque de passagem no Cliente Zoom para computador para Windows e cliente VDI do Zoom para Windows e Zoom SDKs para Windows pode permitir que um usuário não autenticado habilite uma escalação de privilégio através do acesso à rede. Produtos afetados:
Fonte: Comunicado por shmoul. |
|||||
|
ZSB-23058 | 12/12/2023 | Aplicativo Zoom para dispositivo móvel para iOS e SDKs para iOS - Controle de acesso inadequado | Crítica | CVE-2023-43585 |
Gravidade: Crítica Pontuação CVSS: 7.1 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L
Descrição: O controle de acesso inadequado no Aplicativo Zoom para dispositivo móvel para iOS e Zoom SDKs para iOS anteriores à versão 5.16.5 pode permitir que um usuário autenticado realize um vazamento de informações através do acesso à rede. Produtos afetados:
Fonte: Relatado pela equipe de segurança ofensiva do Zoom. |
|||||
|
ZSB-23056 | 12/12/2023 | Aplicativo Zoom para dispositivo móvel para Android, Aplicativo Zoom para dispositivo móvel para iOS e Zoom SDKs - Problemas criptográficos | Crítica | CVE-2023-43583 |
Gravidade: Crítica Pontuação CVSS: 4.9 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
Descrição: Problemas criptográficos no Aplicativo Zoom para dispositivo móvel para Android, Aplicativo Zoom para dispositivo móvel para iOS e Zoom SDKs para Android e iOS anteriores à versão 5.16.0 pode permitir que um usuário com privilégios realize um vazamento de informações através do acesso à rede. Produtos afetados:
Fonte: Relatado pela equipe de segurança ofensiva do Zoom. |
|||||
|
ZSB-23055 | 11/14/2023 | Clientes Zoom - Autenticação indevida | Crítica | CVE-2023-43582 |
Gravidade: Crítica Pontuação CVSS: 5.5 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L
Descrição: A autorização indevida em alguns clientes do Zoom pode permitir que um usuário autorizado realize uma escalação de privilégios através do acesso à rede. Produtos afetados:
Fonte: Relatado pela equipe de segurança ofensiva do Zoom. |
|||||
|
ZSB-23054 | 11/14/2023 | Zoom Rooms para macOS - Gestão imprópria de privilégios | Crítica | CVE-2023-43591 |
Gravidade: Crítica Pontuação CVSS: 7.8 Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Descrição: A gestão imprópria de privilégios no Zoom Rooms para macOS antes da versão 5.16.0 pode permitir que um usuário autenticado realize uma escalação de privilégio através de um acesso local. Produtos afetados:
Fonte: Comunicado por Eugene Lim (spaceraccoon). |
|||||
|
ZSB-23053 | 11/14/2023 | Zoom Rooms para macOS - Clique de link | Crítica | CVE-2023-43590 |
Gravidade: Crítica Pontuação CVSS: 7.8 Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Descrição: O clique de link no Zoom Rooms para macOS antes da versão 5.16.0 pode permitir que um usuário autenticado realize uma escalação de privilégio através de um acesso local. Produtos afetados:
Fonte: Comunicado por Eugene Lim (spaceraccoon). |
|||||
|
ZSB-23052 | 11/14/2023 | Clientes Zoom - Gestão insuficiente do fluxo de controle | Crítica | CVE-2023-43588 |
Gravidade: Crítica Pontuação CVSS: 3.5 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N
Descrição: A gestão insuficiente do fluxo de controle em alguns clientes do Zoom pode permitir que um usuário autenticado realize um vazamento de informações através do acesso à rede. Produtos afetados:
Fonte: Relatado pela equipe de segurança ofensiva do Zoom. |
|||||
|
ZSB-23051 | 11/14/2023 | Clientes do Zoom - Problemas criptográficos | Crítica | CVE-2023-39199 |
Gravidade: Crítica Pontuação CVSS: 4.9 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
Descrição: Problemas criptográficos com o chat dentro da reunião em alguns clientes do Zoom podem permitir que um usuário com privilégios realize um vazamento de informações através do acesso à rede. Produtos afetados:
Fonte: Relatado pela equipe de segurança ofensiva do Zoom. |
|||||
|
ZSB-23050 | 11/14/2023 | Clientes Zoom - Estouro de buffer | Crítica | CVE-2023-39206 |
Gravidade: Crítica Pontuação CVSS: 3.7 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L
Descrição: O estouro de buffer em alguns clientes do Zoom pode permitir que um usuário autenticado realize uma negação de serviço através do acesso à rede. Produtos afetados:
Fonte: Relatado pela equipe de segurança ofensiva do Zoom. |
|||||
|
ZSB-23049 | 11/14/2023 | Clientes Zoom - Verificação de condições indevida | Crítica | CVE-2023-39205 |
Gravidade: Crítica Pontuação CVSS: 4.3 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Descrição: A Verificação de condições indevida no Zoom Team Chat para clientes do Zoom pode permitir que um usuário autenticado realize uma negação de serviço através do acesso à rede. Produtos afetados:
Fonte: Relatado pela equipe de segurança ofensiva do Zoom. |
|||||
|
ZSB-23048 | 11/14/2023 | Clientes Zoom - Estouro de buffer | Crítica | CVE-2023-39204 |
Gravidade: Crítica Pontuação CVSS: 4.3 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L
Descrição: O estouro de buffer em alguns clientes do Zoom pode permitir que um usuário autenticado realize uma negação de serviço através do acesso à rede. Produtos afetados:
Fonte: Relatado pela equipe de segurança ofensiva do Zoom. |
|||||
|
ZSB-23047 | 11/14/2023 | Cliente Zoom para computador para Windows e cliente VDI do Zoom - Consumo descontrolado de recursos | Crítica | CVE-2023-39203 |
Gravidade: Crítica Pontuação CVSS: 4.3 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L
Descrição: O consumo descontrolado de recursos no Zoom Team Chat para o cliente Zoom para computador para Windows e para o cliente VDI do Zoom pode permitir que um usuário não autenticado realize um vazamento de informações através do acesso à rede. Produtos afetados:
Fonte: Comunicado por shmoul. |
|||||
|
ZSB-23046 | 11/14/2023 | Equipamentos para Zoom Rooms para Windows e Cliente VDI do Zoom - Caminho de pesquisa não confiável | Crítica | CVE-2023-39202 |
Gravidade: Crítica Pontuação CVSS: 3.1 Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:L
Descrição: O caminho de pesquisa não confiável em Equipamentos para Zoom Rooms para Windows de cliente VDI do Zoom pode permitir que um usuário com privilégios realize uma negação de serviço através de um acesso local. Produtos afetados:
Fonte: Denunciado por sim0nsecurity. |
|||||
|
ZSB-23045 | 09/12/2023 | CleanZoom - Caminho de pesquisa não confiável | Crítica | CVE-2023-39201 |
Gravidade: Crítica Pontuação CVSS: 7.2 Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
Descrição: O Caminho de pesquisa não confiável no CleanZoom com data de arquivo anterior a 24/07/2023 pode permitir que um usuário com privilégios realize uma escalação de privilégio através de um acesso local. Produtos afetados:
Fonte: Denunciado por sim0nsecurity. |
|||||
|
ZSB-23043 | 09/12/2023 | Cliente Zoom para computador para Linux - Validação de entrada indevida | Crítica | CVE-2023-39208 |
Gravidade: Crítica Pontuação CVSS: 6.5 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
Descrição: A validação de entrada indevida no Cliente Zoom para computador para Linux anterior à versão 5.15.10 pode permitir que um usuário não autenticado realize uma negação de serviço através do acesso à rede. Produtos afetados:
Fonte: Comunicado por Antoine Roly (aroly). |
|||||
|
ZSB-23040 | 09/12/2023 | Clientes do Zoom - Autenticação indevida | Crítica | CVE-2023-39215 |
Gravidade: Crítica Pontuação CVSS: 7.1 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:H
Descrição: A Autenticação indevida em clientes do Zoom pode permitir que um usuário autenticado a realizar uma negação de serviço através do acesso à rede. Produtos afetados:
Fonte: Relatado pela equipe de segurança ofensiva do Zoom. |
|||||
|
ZSB-23041 | 08/08/2023 | Cliente Zoom para computador para Windows - Validação de entrada indevida | Crítica | CVE-2023-39209 |
Gravidade: Crítica Pontuação CVSS: 5.9 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L
Descrição: A validação de entrada indevida no Cliente Zoom para computador para Windows anterior à versão 5.15.5 pode permitir que um usuário autenticado habilite uma divulgação de informações através do acesso à rede. Produtos afetados:
Fonte: Relatado pela equipe de segurança ofensiva do Zoom. |
|||||
|
ZSB-23039 | 08/08/2023 | Clientes Zoom - Exposição de informações confidenciais | Crítica | CVE-2023-39214 |
Gravidade: Crítica Pontuação CVSS: 7.6 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H
Descrição: Exposição de informações confidenciais em cliente Zoom anterior à versão 5.15.5 pode permitir que um usuário autenticado habilite uma negação de serviço através do acesso à rede. Produtos afetados:
Fonte: Relatado pela equipe de segurança ofensiva do Zoom. |
|||||
|
ZSB-23038 | 08/08/2023 | Cliente Zoom para computador para Windows e cliente VDI do Zoom - Neutralização indevida de elementos especiais | Crítica | CVE-2023-39213 |
Gravidade: Crítica Pontuação CVSS: 9.6 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Descrição: A neutralização indevida de elementos especiais no Cliente Zoom para computador para Windows e no cliente VDI do Zoom pode permitir que um usuário não autorizado habilite uma escalação de privilégio através do acesso à rede. Produtos afetados:
Fonte: Relatado pela equipe de segurança ofensiva do Zoom. |
|||||
|
ZSB-23037 | 08/08/2023 | Zoom Rooms para Windows - Caminho de pesquisa não confiável | Crítica | CVE-2023-39212 |
Gravidade: Crítica Pontuação CVSS: 7.9 Sequência de vetor CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H
Descrição: O caminho de pesquisa não confiável no Zoom Rooms para Windows anterior à versão 5.15.5 pode permitir que um usuário autenticado habilite uma negação de serviço através de um acesso local. Produtos afetados:
Fonte: Denunciado por sim0nsecurity. |
|||||
|
ZSB-23036 | 08/08/2023 | Cliente Zoom para computador para Windows e Zoom Rooms para Windows - Gerenciamento de privilégio indevido | Crítica | CVE-2023-39211 |
Gravidade: Crítica Pontuação CVSS: 8.8 Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Descrição: O gerenciamento de privilégio indevido no Cliente Zoom para computador para Windows e no Zoom Rooms para Windows anteriores à versão 5.15.5 pode permitir que um usuário autenticado habilite uma divulgação de informações através do acesso local. Produtos afetados:
Fonte: Denunciado por sim0nsecurity. |
|||||
|
ZSB-23035 | 08/08/2023 | SDK do cliente Zoom para Windows - Limpeza de armazenamento de texto com informações confidenciais | Crítica | CVE-2023-39210 |
Gravidade: Crítica Pontuação CVSS: 5.5 Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Descrição: A limpeza de armazenamento de texto com informações confidenciais no SDK do Cliente Zoom para Windows anterior à versão 5.15.0 pode permitir que um usuário autenticado habilite uma divulgação de informações através do acesso local. Produtos afetados:
Fonte: Denunciado por sim0nsecurity. |
|||||
|
ZSB-23034 | 08/08/2023 | Clientes Zoom - Aplicação no lado do cliente da segurança do lado do servidor | Crítica | CVE-2023-39218 |
Gravidade: Crítica Pontuação CVSS: 6.5 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
Descrição: A aplicação no lado do cliente da segurança do lado do servidor em clientes Zoom anteriores à versão 5.14.10 pode permitir que um usuário privilegiado habilite a divulgação de informações através do acesso à rede. Produtos afetados:
Fonte: Relatado pela equipe de segurança ofensiva do Zoom. |
|||||
|
ZSB-23033 | 08/08/2023 | Cliente Zoom - Validação de entrada indevida | Crítica | CVE-2023-39217 |
Gravidade: Crítica Pontuação CVSS: 5.3 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Descrição: A validação de entrada indevida no Cliente Zoom anterior à versão 5.14.10 pode permitir que um usuário não autenticado habilite uma negação de serviço através do acesso à rede. Produtos afetados:
Fonte: Relatado pela equipe de segurança ofensiva do Zoom. |
|||||
|
ZSB-23032 | 08/08/2023 | Cliente Zoom para computador para Windows - Validação de entrada indevida | Crítica | CVE-2023-39216 |
Gravidade: Crítica Pontuação CVSS: 9.6 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Descrição: A validação de entrada indevida no Cliente Zoom para computador para Windows anterior à versão 5.14.7 pode permitir que um usuário não autenticado habilite uma escalação de privilégio através do acesso à rede. Produtos afetados:
Fonte: Relatado pela equipe de segurança ofensiva do Zoom. |
|||||
|
ZSB-23031 | 08/08/2023 | Clientes Zoom - Aplicação no lado do cliente da segurança do lado do servidor | Crítica | CVE-2023-36535 |
Gravidade: Crítica Pontuação CVSS: 7.1 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L
Descrição: A aplicação no lado do cliente da segurança do lado do servidor em clientes Zoom anteriores à versão 5.14.10 pode permitir que um usuário autenticado habilite a divulgação de informações através do acesso à rede. Produtos afetados:
Fonte: Relatado pela equipe de segurança ofensiva do Zoom. |
|||||
|
ZSB-23030 | 08/08/2023 | Cliente Zoom para computador para Windows - Ataque de passagem | Crítica | CVE-2023-36534 |
Gravidade: Crítica Pontuação CVSS: 9.3 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H
Descrição: O ataque de passagem no Cliente Zoom para computador para Windows anterior à versão 5.14.7 pode permitir que um usuário não autenticado habilite uma escalação de privilégio através do acesso à rede. Produtos afetados:
Fonte: Relatado pela equipe de segurança ofensiva do Zoom. |
|||||
|
ZSB-23029 | 08/08/2023 | SDK do Zoom - Consumo descontrolado de recursos | Crítica | CVE-2023-36533 |
Gravidade: Crítica Pontuação CVSS: 7.1 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H
Descrição: O consumo descontrolado de recursos no SDK do Zoom anterior à versão 5.14.7 pode permitir que um usuário não autenticado habilite uma negação de serviço através do acesso à rede. Produtos afetados:
Fonte: Relatado pela equipe de segurança ofensiva do Zoom. |
|||||
|
ZSB-23028 | 08/08/2023 | Clientes Zoom - Estouro de buffer | Crítica | CVE-2023-36532 |
Gravidade: Crítica Pontuação CVSS: 5.9 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Descrição: O estouro de buffer nos clientes Zoom anteriores à versão 5.14.5 pode permitir que um usuário não autenticado habilite uma negação de serviço através do acesso à rede. Produtos afetados:
Fonte: Relatado pela equipe de segurança ofensiva do Zoom. |
|||||
|
ZSB-23027 | 08/08/2023 | Cliente Zoom para computador para Windows - Verificação insuficiente da autenticidade de dados | Crítica | CVE-2023-36541 |
Gravidade: Crítica Pontuação CVSS: 8 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Descrição: A verificação insuficiente da autenticidade de dados no Cliente Zoom para computador para Windows anterior à versão 5.14.5, pode permitir que um usuário autenticado habilite um aumento de privilégios através do acesso à rede. Produtos afetados:
Fonte: Denunciado por sim0nsecurity. |
|||||
|
ZSB-23026 | 08/08/2023 | Cliente Zoom para computador para Windows - Caminho de pesquisa não confiável | Crítica | CVE-2023-36540 |
Gravidade: Crítica Pontuação CVSS: 7.3 Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L
Descrição: O caminho de pesquisa não confiável no instalador do Cliente Zoom para computador para Windows anterior à versão 5.14.5 pode permitir que um usuário autenticado habilite uma escalação de privilégio através de um acesso local. Produtos afetados:
Fonte: Denunciado por sim0nsecurity. |
|||||
|
ZSB-23024 | 07/11/2023 | Controle de Acesso Indevido | Crítica | CVE-2023-36538 |
Gravidade: Crítica Pontuação CVSS: 8.4 Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H
Descrição: O controle de acesso indevido no Zoom Rooms para Windows antes da versão 5.15.0 pode permitir que um usuário autenticado habilite uma escalação de privilégio através de um acesso local. Produtos afetados:
Fonte: Denunciado por sim0nsecurity. |
|||||
|
ZSB-23023 | 07/11/2023 | Gestão imprópria de privilégios | Crítica | CVE-2023-36537 |
Gravidade: Crítica Pontuação CVSS: 7.3 Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L
Descrição: O gerenciamento de privilégio indevido no Zoom Rooms para Windows antes da versão 5.14.5 pode permitir que um usuário autenticado habilite uma escalação de privilégio através de um acesso local. Produtos afetados:
Fonte: Relatado por sim0nsecurity |
|||||
|
ZSB-22033 | 01/06/2023 | Ataque de passagem em clientes Zoom for Android | Crítica | CVE-2022-36928 |
Gravidade: Crítica Pontuação CVSS: 6.1 Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
Descrição: Os clientes Zoom for Android anteriores à versão 5.13.0 contém uma vulnerabilidade de ataque de passagem. Um aplicativo de terceiros poderia explorar essa vulnerabilidade para ler e gravar no diretório de dados do aplicativo Zoom. Produtos afetados:
Fonte: Comunicado por Dimitrios Valsamaras da Microsoft |
|||||
|
ZSB-22032 | 01/06/2023 | Escalação de privilégio local em clientes Zoom Rooms for macOS | Crítica |
CVE-2022-36926 CVE-2022-36927 |
Gravidade: Crítica Pontuação CVSS: 8.8 Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Descrição: Clientes Zoom Rooms for macOS anteriores a versão 5.11.3 contém uma vulnerabilidade de escalação de privilégio local. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade para escalar seus privilégios até a raiz. Produtos afetados:
Fonte: Comunicado por Kirin (Pwnrin) |
|||||
|
ZSB-22031 | 01/06/2023 | Geração insegura de chave para clientes Zoom Rooms for macOS | Crítica | CVE-2022-36925 |
Gravidade: Crítica Pontuação CVSS: 4.4 Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
Descrição: Clientes Zoom Rooms for macOS anteriores à versão 5.11.4 contém um mecanismo inseguro de geração de chave. A chave de criptografia usada para IPC entre o serviço daemon do Zoom Rooms e o cliente Zoom Rooms foi gerada usando parâmetros que poderiam ser obtidos por um aplicativo local de baixo privilégio. A chave, em seguida, poderia ser usada para interagir com o serviço daemon para executar funções privilegiadas e causar uma negação de serviço local. Produtos afetados:
Fonte: Comunicado por Kirin (Pwnrin) |
|||||
|
ZSB-22030 | 11/15/2022 | Escalação de privilégio local no instalador do Zoom Rooms para Windows | Crítica | CVE-2022-36924 |
Gravidade: Crítica Pontuação CVSS: 8.8 Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Descrição: O instalador do Zoom Rooms para Windows, versões anteriores à 5.12.6, contém uma vulnerabilidade de aumento de privilégios locais. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade durante o processo de instalação para escalar seus privilégios até o usuário de SISTEMA. Produtos afetados:
Fonte: Relatado por sim0nsecurity |
|||||
|
ZSB-22029 | 11/15/2022 | Escalação de privilégio local do instalador do cliente Zoom para macOS | Crítica | CVE-2022-28768 |
Gravidade: Crítica Pontuação CVSS: 8.8 Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Descrição: O instalador do Zoom Client for Meetings para macOS (padrão e para administrador de TI) antes da versão 5.12.6 contém uma vulnerabilidade na escalação do privilégio local. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade durante o processo de instalação para escalar seus privilégios até a raiz. Produtos afetados:
Fonte: Reportado por Koh M. Nakagawa (tsunekoh) |
|||||
|
ZSB-22027 | 11/15/2022 | Injeção de DLL nos Zoom Windows Clients | Crítica | CVE-2022-28766 |
Gravidade: Crítica Pontuação CVSS: 8.1 Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L
Descrição: As versões de 32 bits para Windows do Zoom Client for Meetings, versões anteriores à 5.12.6, e do Zoom Rooms for Conference Rooms, versões anteriores à 5.12.6, são suscetíveis a uma vulnerabilidade de injeção de DLL. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade para executar códigos arbitrários no contexto do cliente Zoom. Produtos afetados:
Fonte: Relatado por sim0nsecurity |
|||||
|
ZSB-22025 | 11/10/2022 | Exposição de informações locais nos clientes Zoom | Crítica | CVE-2022-28764 |
Gravidade: Crítica Pontuação CVSS: 3.3 Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Descrição: O Zoom Client for Meetings (para Android, iOS, Linux, macOS e Windows) anterior à versão 5.12.6 é suscetível a uma vulnerabilidade de exposição de informações locais. Produtos afetados:
Fonte: Reportado por Christian Zäske da SySS GmbH |
|||||
|
ZSB-22024 | 10/24/2022 | Análise inadequada do URL nos Zoom clients | Crítica | CVE-2022-28763 |
Gravidade: Crítica Pontuação CVSS: 8.8 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Descrição: O Zoom Client for Meetings (para Android, iOS, Linux, macOS e Windows) anterior à versão 5.12.2 é suscetível à vulnerabilidade de análise de URL. Se um URL de reunião mal-intencionado do Zoom for aberto, o link mal-intencionado poderá direcionar o usuário para se conectar a um endereço de rede arbitrário, levando a ataques adicionais, incluindo a tomada de controle da sessão. Produtos afetados:
Fonte: Relatado pela equipe de segurança do Zoom |
|||||
|
ZSB-22023 | 10/11/2022 | Depurando uma configuração errada de porta no Zoom Apps, no Zoom Client for Meetings para macOS | Crítica | CVE-2022-28762 |
Gravidade: Crítica Pontuação CVSS: 7.3 Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
Descrição: Zoom Client for Meetings para macOS (Padrão e para administrador de TI), a partir da versão 5.10.6 e anterior à versão 5.12.0, contém uma depuração de configuração errada de porta. Quando o modo de câmera renderizar contexto está habilitado como parte do API de camadas do aplicativo Zoom, ao executar certos Zoom Apps, uma depuração local de porta é aberta pelo cliente Zoom. Um usuário local mal-intencionado poderia usar esta depuração de porta para se conectar ao Zoom Apps e controlá-lo executando no cliente Zoom. Produtos afetados:
Fonte: Relatado pela equipe de segurança do Zoom |
|||||
|
ZSB-22022 | 10/11/2022 | Implementações do Zoom no local: controle de acesso impróprio | Crítica | CVE-2022-28761 |
Gravidade: Crítica Pontuação CVSS: 6.5 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Descrição: O MMR do conector de reunião local Zoom, versões anteriores à 4.8.20220916.131, contém uma vulnerabilidade de controle impróprio de acesso. Como resultado, um ator mal-intencionado em uma reunião ou webinar em que ele está autorizado a ingressar, pode impedir que participantes recebam áudio e vídeo, causando interferências na reunião. Produtos afetados:
Fonte: Relatado pela equipe de segurança ofensiva Zoom |
|||||
|
ZSB-22021 | 09/13/2022 | Implementações do Zoom no local: controle de acesso impróprio | Crítica | CVE-2022-28760 |
Gravidade: Crítica Pontuação CVSS: 6.5 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Descrição: O MMR conector de reunião local Zoom anterior à versão 4.8.20220815.130 contém uma vulnerabilidade de controle de acesso impróprio. Como resultado, um ator mal-intencionado pode ingressar em uma reunião na qual eles estão autorizados a acessar, sem aparecer para os outros participantes. Produtos afetados:
Fonte: Relatado pela equipe de segurança ofensiva Zoom |
|||||
|
ZSB-22020 | 09/13/2022 | Implementações do Zoom no local: controle de acesso impróprio | Crítica |
CVE-2022-28758 CVE-2022-28759 |
Gravidade: Crítica Pontuação CVSS: 8.2 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Descrição: O MMR conector de reunião local Zoom anterior à versão 4.8.20220815.130 contém uma vulnerabilidade de controle de acesso impróprio. Como resultado, um ator mal-intencionado poderia obter o feed de áudio e vídeo de uma reunião à qual ele não estava autorizado a acessar e causar outras interferências na reunião. Produtos afetados:
Fonte: Relatado pela equipe de segurança do Zoom |
|||||
|
ZSB-22019 | 08/17/2022 | Escalação de privilégio local no atualizador automático para Zoom Client for Meetings para macOS | Crítica | CVE-2022-28757 |
Gravidade: Crítica Pontuação CVSS: 8.8 Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Descrição: O Zoom Client for Meetings for macOS (padrão e para administradores de TI), versões posteriores à 5.7.3 e anteriores à 5.11.6, contém uma vulnerabilidade no processo de atualização automática. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade para escalar seus privilégios até a raiz. Produtos afetados:
Fonte: Reportado por Csaba Fitzl (theevilbit) da Offensive Security |
|||||
|
ZSB-22018 | 08/13/2022 | Escalação de privilégio local no atualizador automático para produtos Zoom macOS [Updated 2022-09-13] | Crítica | CVE-2022-28756 |
Gravidade: Crítica Pontuação CVSS: 8.8 Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Descrição: O Zoom Client for Meetings for macOS (padrão e para administradores de TI), versões posteriores à 5.7.3 e anteriores à 5.11.5, eo Zoom Rooms for Conference Rooms for macOS, versões anteriores à 5.11.6, contêm uma vulnerabilidade no processo de atualização automática. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade para escalar seus privilégios até a raiz. Produtos afetados:
Fonte: Relatado por Patrick Wardle da Objective-See |
|||||
|
ZSB-22017 | 08/09/2022 | Escalação de privilégio local no Zoom Client for Meetings para macOS | Crítica | CVE-2022-28751 |
Gravidade: Crítica Pontuação CVSS: 8.8 Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Descrição: O Zoom Client for Meetings para MacOS (Padrão e para administrador de TI) anterior à versão 5.11.3 contém uma vulnerabilidade na validação da assinatura do pacote durante o processo de atualização. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade para escalar seus privilégios até a raiz. Produtos afetados:
Fonte: Relatado por Patrick Wardle da Objective-See |
|||||
|
ZSB-22014 | 08/09/2022 | Implementações do Zoom no local: controle de acesso impróprio | Crítica |
CVE-2022-28753 CVE-2022-28754 |
Gravidade: Crítica Pontuação CVSS: 7.1 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N
Descrição: O MMR conector de reunião local Zoom anterior à versão 4.8.129.20220714 contém uma vulnerabilidade de controle de acesso impróprio. Como resultado, um ator mal-intencionado pode ingressar em uma reunião na qual ele está autorizado a acessar, sem aparecer para os outros participantes, pode autorizar a si mesmo entrar na reunião a partir da sala de espera, pode se tornar anfitrião e causar outras interferências na reunião. Produtos afetados:
Fonte: Relatado pela equipe de segurança ofensiva Zoom |
|||||
|
ZSB-22016 | 08/09/2022 | Análise inadequada do URL nos Zoom clients [Updated 2022-10-24] | Crítica | CVE-2022-28755 |
Gravidade: Crítica Pontuação CVSS: 9.6 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Descrição: O Zoom Client for Meetings (para Android, iOS, Linux, macOS, e Windows) anterior à versão 5.11.0 é suscetível a vulnerabilidade de análise de URL. Se um URL de reunião mal-intencionado do Zoom for aberto, o link mal-intencionado pode direcionar o usuário para se conectar a um endereço de rede arbitrário, levando a ataques adicionais, incluindo uma possível execução remota de código através da execução de executáveis de caminhos arbitrários. Produtos afetados:
Fonte: Relatado pela equipe de segurança ofensiva Zoom |
|||||
|
ZSB-22012 | 08/09/2022 | Implementações no local do Zoom: estouro de pilha de buffer no conector de reunião | Crítica | CVE-2022-28750 |
Gravidade: Crítica Pontuação CVSS: 7.5 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Descrição: O controlador de zona (ZC) do conector de reunião local Zoom, versões anteriores à 4.8.20220419.112, não analisa corretamente códigos de erro STUN, o que pode resultar na corrupção da memória e permitir que um ator mal-intencionado faça o aplicativo parar de funcionar. Em versões anteriores à 4.8.12.20211115, esta vulnerabilidade também pode ser aproveitada para executar códigos arbitrários. Produtos afetados:
Fonte: Relatado pela equipe de segurança ofensiva Zoom |
|||||
|
ZSB-22011 | 06/14/2022 | Conferência de autorização insuficiente durante acesso à reunião | Crítica | CVE-2022-28749 |
Gravidade: Crítica Pontuação CVSS: 6.5 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Descrição: O MMR conector de reunião local Zoom, anterior à versão 4.8.113.20220526 falha em conferir adequadamente as permissões do participante de uma reunião Zoom. O resultado é que o usuário que seja uma ameaça, aguardando na sala de espera do Zoom, pode ingressar na reunião sem o consentimento do anfitrião. Produtos afetados:
Fonte: Relatado pela equipe de segurança ofensiva Zoom |
|||||
|
ZSB- 22010 | 06/14/2022 | Injeção de DLL no instalador do Zoom Opener para Zoom client e equipamentos para Zoom Rooms | Crítica | CVE-2022-22788 |
Gravidade: Crítica Pontuação CVSS: 7.1 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
Descrição: O instalador do Zoom Opener é baixado por um usuário na página de inicialização da reunião quando ele tenta ingressar em uma reunião sem ter o client do Zoom Meeting instalado. Os instaladores do Zoom Opener para Zoom Client for Meeting anterior à versão 5.10.3 e para Zoom Rooms para sala de conferência para Windows anterior à versão 5.10.3 estão suscetíveis a ataque de injeção de DLL. Essa vulnerabilidade poderia ser usada para executar um código arbitrário no host da vítima. Produtos afetados:
Fonte: Reportado por James Tsz Ko Yeung |
|||||
|
ZSB-22009 | 05/17/2022 | Validação insuficiente do nome do host durante a troca de server no Zoom Client for Meetings | Crítica | CVE-2022-22787 |
Gravidade: Crítica Pontuação CVSS: 5.9 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L
Descrição: O Zoom Client for Meetings (para Android, iOS, Linux, macOS e Windows) antes da versão 5.10.0 não consegue validar o nome do host durante uma solicitação de troca de servidor adequadamente. Esse problema pode ser usado em um ataque mais sofisticado para enganar o cliente de um usuário inocente a conectar-se a um servidor malicioso ao tentar usar os serviços Zoom. Produtos afetados:
Fonte: Relatado por Ivan Fratric do Google Project Zero |
|||||
|
ZSB-22008 | 05/17/2022 | Downgrade de pacote de atualização no Zoom Client for Meetings para Windows | Crítica | CVE-2022-22786 |
Gravidade: Crítica Pontuação CVSS: 7.5 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Descrição: O Zoom Client for Meetings para Windows antes da versão 5.10.0 e o Zoom Rooms para sala de conferência para Windows antes da versão 5.10.0 falham ao verificar adequadamente a versão de instalação durante o processo de atualização. Esse problema poderia ser usado em um ataque mais sofisticado para fazer com que o usuário faça o downgrade do cliente Zoom para uma versão menos segura. Produtos afetados:
Fonte: Relatado por Ivan Fratric do Google Project Zero |
|||||
|
ZSB-22007 | 05/17/2022 | Cookies de sessão indevidamente limitados no Zoom Client for Meetings | Crítica | CVE-2022-22785 |
Gravidade: Crítica Pontuação CVSS: 5.9 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L
Descrição: O Zoom Client for Meetings (para Android, iOS, Linux, macOS e Windows) antes da versão 5.10.0 falha ao limitar os cookies de sessão do cliente adequadamente aos domínios da Zoom. Esse problema poderia ser usado em um ataque mais sofisticado para enviar os cookies de sessão do Zoom de um usuário para um domínio que não pertença à Zoom. Isso potencialmente permitiria que alguém imitasse um usuário do Zoom. Produtos afetados:
Fonte: Relatado por Ivan Fratric do Google Project Zero |
|||||
|
ZSB- 22006 | 05/17/2022 | Análise indevida de XML no Zoom Client for Meetings | Crítica | CVE-2022-22784 |
Gravidade: Crítica Pontuação CVSS: 8.1 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Descrição: O Zoom Client for Meetings (para Android, iOS, Linux, macOS e Windows) antes da versão 5.10.0 falha ao analisar adequadamente estrofes de XML em mensagens XMPP. Isso pode permitir que um usuário malicioso saia do contexto atual de mensagens XMPP e crie um novo contexto de mensagem para que o cliente de um usuário execute uma variedade de ações. Esse problema poderia ser usado em um ataque mais sofisticado para forjar mensagens XMPP do servidor. Produtos afetados:
Fonte: Relatado por Ivan Fratric do Google Project Zero |
|||||
|
ZSB- 22005 | 04/27/2022 | Exposição da memória do processo nos serviços de reunião local Zoom | Crítica | CVE-2022-22783 |
Gravidade: Crítica Pontuação CVSS: 8.3 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/CR:H
Descrição: Uma vulnerabilidade no controlador do conector de reunião local Zoom versão 4.8.102.20220310 e no MMR conector de reunião local Zoom 4.8.102.20220310 expõe fragmentos de memória de processamento aos clientes conectados, o que pode ser observado por um invasor passivo. Produtos afetados:
Fonte: Equipe de segurança ofensiva Zoom |
|||||
|
ZSB-22004 | 04/27/2022 | Escalação de privilégio local nos Zoom Clients do Windows | Crítica | CVE-2022-22782 |
Gravidade: Crítica Pontuação CVSS: 7.9 Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H
Descrição: O Zoom Client for Meetings do Windows anterior à versão 5.9.7, o Zoom Rooms para sala de conferência do Windows anterior à versão 5.10.0, os plugins Zoom para Microsoft Outlook do Windows anterior à versão 5.10.3 e os Clientes de Reunião Zoom VDI Windows anteriores à versão 5.9.6 eram suscetíveis a um problema de escalação de privilégios durante a operação de reparo do instalador. Um ator mal-intencionado poderia usar isso para potencialmente excluir arquivos ou pastas no nível do sistema, causando problemas de integridade ou disponibilidade na máquina host do usuário. Produtos afetados:
Fonte: Relatado por meio da Iniciativa Dia Zero |
|||||
|
ZSB-22003 | 04/27/2022 | Downgrade de pacote de atualização no Zoom Client for Meetings para macOS | Crítica | CVE-2022-22781 |
Gravidade: Crítica Pontuação CVSS: 7.5 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Descrição: O Zoom Client for Meetings para macOS (Padrão e para Administrador de TI) anterior à versão 5.9.6 falhava na verificação adequada da versão do pacote durante o processo de atualização. Isso poderia fazer com que um ator mal-intencionado atualizasse a versão atualmente instalada de um usuário inocente para uma versão menos segura. Produtos afetados:
Fonte: Relatado por Patrick Wardle da Objective-See |
|||||
|
ZSB-22002 | 02/08/2022 | Zoom Team Chat suscetível a bomba zip/de descompressão | Crítica | CVE-2022-22780 |
Gravidade: Crítica Pontuação CVSS: 4.7 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L
Descrição: A funcionalidade do chat do Zoom Client for Meetings estava suscetível a ataques de bomba zip nas seguintes versões de produtos: Android em versões anteriores a 5.8.6, iOS em versões anteriores a 5.9.0, Linux em versões anteriores a 5.8.6, macOS em versões anteriores a 5.7.3, e Windows em versões anteriores a 5.6.3. Isso pode levar a problemas com disponibilidade no anfitrião do client, causando exaustão nos recursos do sistema. Produtos afetados:
Fonte: Comunicado por Johnny Yu da Walmart Global Tech |
|||||
|
ZSB-22001 | 02/08/2022 | Mensagens expandidas retidas no Keybase Clients para macOS e Windows | Crítica | CVE-2022-22779 |
Gravidade: Crítica Pontuação CVSS: 3.7 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Descrição: O Keybase Clients para macOS e Windows em versões anteriores a 5.9.0 não consegue remover adequadamente mensagens expandidas iniciadas por um usuário. Isso pode ocorrer se o destinatário mudar para um recurso sem chat, e colocar o anfitrião em estado de descanso antes que o remetente expanda as mensagens. Isso pode levar a divulgação de informações confidenciais, que deveriam ser apagadas do sistema de arquivos do usuário. Produtos afetados:
Fonte: Reportado por Olivia O'Hara |
|||||
|
ZSB-21022 | 12/14/2021 | Comando de execução arbitrária no Cliente Keybase para Windows | Crítica | CVE-2021-34426 |
Gravidade: Crítica Pontuação CVSS: 5.3 Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
Descrição: Uma vulnerabilidade foi descoberta no Cliente Keybase para Windows anterior à versão 5.6.0, quando um usuário executa o comando "keybase git lfs-config" na linha de comando. Nas versões anteriores à 5.6.0, um usuário mal-intencionado com acesso de gravação a um repositório Git do usuário, poderia aproveitar essa vulnerabilidade para possivelmente executar comandos arbitrários do Windows no sistema local de um usuário. Produtos afetados:
Fonte: Relatado pela RyotaK |
|||||
|
ZSB-21021 | 12/14/2021 | Falsificação de solicitação do lado do servidor no chat do Zoom Client for Meetings | Crítica | CVE-2021-34425 |
Gravidade: Crítica Pontuação CVSS: 4.7 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N
Descrição: O Zoom Client for Meetings anterior à versão 5.7.3 (para Android, iOS, Linux, macOS, e Windows) contém uma vulnerabilidade de falsificação de solicitação do lado do servidor na funcionalidade "link preview" do chat. Nas versões anteriores à 5.7.3, caso um usuário fosse habilitar o recurso "link preview" do chat, um usuário mal-intencionado poderia enganar o usuário para, possivelmente, enviar solicitações arbitrárias HTTP GET para URLs que o usuário não pode acessar diretamente. Produtos afetados:
Fonte: Comunicado por Johnny Yu da Walmart Global Tech |
|||||
|
ZSB-21020 | 11/24/2021 | Exposição da memória do processo no Zoom Client e outros produtos | Crítica | CVE-2021-34424 |
Gravidade: Crítica Pontuação CVSS: 5.3 Sequência de vetor CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Descrição: Uma vulnerabilidade foi descoberta nos produtos listados na seção "Produtos Afetados" desse boletim que possivelmente permitiu a exposição do estado da memória do processo. Essa falha poderia ser usada para possivelmente ganhar insight em áreas arbitrárias da memória do produto. Produtos afetados:
Fonte: Comunicado por Natalie Silvanovich do Google Project Zero |
|||||
|
ZSB-21019 | 11/24/2021 | Buffer Overflow no Zoom Client e outros produtos | Crítica | CVE-2021-34423 |
Gravidade: Crítica Pontuação CVSS: 7.3 Sequência de vetor CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Descrição: Uma vulnerabilidade de buffer overflow foi descoberta nos produtos listados na seção "Produtos Afetados" desse boletim. Isso pode possivelmente permitir que um usuário mal-intencionado trave o serviço ou aplicativo ou aproveite essa vulnerabilidade para executar um código arbitrário. Produtos afetados:
Fonte: Fonte: Comunicado por Natalie Silvanovich do Google Project Zero |
|||||
|
ZSB-21018 | 11/09/2021 | Ataque de Passagem [Path Traversal] de nomes de arquivos no Cliente Keybase para Windows | Crítica | CVE-2021-34422 |
Gravidade: Crítica Pontuação CVSS: 7.2 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
Descrição: Os Clientes Keybase para Windows anteriores à versão 5.7.0 contêm uma vulnerabilidade de path traversal [ataque de passagem] ao verificar o nome de um arquivo carregado para uma pasta de equipe. Um usuário mal-intencionado poderia carregar um arquivo para uma pasta compartilhada com um nome de arquivo especialmente elaborado que poderia permitir a um usuário executar um aplicativo que não estava previsto na máquina host. Se um usuário mal-intencionado aproveitasse essa falha com o recurso de compartilhamento da pasta pública do Cliente Keybase, isso poderia levar a execução de código remota. Produtos afetados:
Fonte: Comunicado por m4t35z |
|||||
|
ZSB-21017 | 11/09/2021 | Mensagens expandidas retidas nos Clientes Keybase para Android e iOS | Crítica | CVE-2021-34421 |
Gravidade: Crítica Pontuação CVSS: 3.7 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Descrição: O Cliente Keybase para Android anterior à versão 5.8.0 e o Cliente Keybase para iOS anterior à versão 5.8.0 não conseguem remover adequadamente as mensagens expandidas iniciadas por um usuário, se o usuário destinatário posiciona a sessão de chat no plano de fundo enquanto o remetente expande as mensagens. Isso poderia levar a divulgação de informações confidenciais que deveriam ser apagadas do dispositivo do cliente. Produtos afetados:
Fonte: Comunicado por Olivia O'Hara, John Jackson, Jackson Henry e Robert Willis |
|||||
|
ZSB-21016 | 11/09/2021 | Bypass da assinatura executável da instalação do Zoom Windows | Crítica | CVE-2021-34420 |
Gravidade: Crítica Pontuação CVSS: 4.7 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N
Descrição: O instalador do Zoom Client for Meetings para Windows anterior à versão 5.5.4 não verifica adequadamente a assinatura dos arquivos com extensões .msi, .ps1 e .bat. Isso poderia permitir que um usuário mal-intencionado instalasse um software mal-intencionado no computador do cliente. Produtos afetados:
Fonte: Comunicado por Laurent Delosieres da ManoMano |
|||||
|
ZSB-21015 | 11/09/2021 | Injeção HTML no Zoom Linux Client | Crítica | CVE-2021-34419 |
Gravidade: Crítica Pontuação CVSS: 3.7 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
Descrição: No Zoom Client for Meetings para Ubuntu Linux nas versões anteriores à 5.1.0, há uma falha da injeção de HTML ao enviar uma solicitação de controle remoto para um usuário no processo de compartilhamento de tela, durante uma reunião. Isso poderia permitir que os participantes da reunião fossem alvos de ataques de engenharia social. Produtos afetados:
Fonte: Comunicado por Danny de Weille e Rick Verdoes da hackdefense |
|||||
|
ZSB-21014 | 11/09/2021 | Travamento Pre-auth Null no web console local | Crítica | CVE-2021-34418 |
Gravidade: Crítica Pontuação CVSS: 4.0 Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L Descrição: O serviço de login do web console para os produtos listados na seção "Produtos Afetados" deste boletim, falha ao validar que um bit NULL foi enviado ao fazer a autenticação. Isso poderia levar ao travamento do serviço de login. Produtos afetados:
Fonte: Comunicado por Jeremy Brown |
|||||
|
ZSB-21013 | 11/09/2021 | Execução de comando remoto autenticado com privilégios de raiz por meio do web console no MMR | Crítica | CVE-2021-34417 |
Gravidade: Crítica Pontuação CVSS: 7.9 Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N Descrição: A página proxy da rede no web portal para os produtos listados na seção "Produtos Afetados" deste boletim, falha ao validar envio de entrada em solicitações para definir a senha da rede proxy. Isso poderia levar a uma injeção de comando remota por um administrador do web portal. Produtos afetados:
Fonte: Comunicado por Jeremy Brown |
|||||
|
ZSB-21012 | 09/30/2021 | Execução de código remoto contra imagens locais por meio do web portal | Crítica | CVE-2021-34416 |
Gravidade: Crítica Pontuação CVSS: 5.5 Sequência de vetor CVSS: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N Descrição: As configurações administrativas do endereço de rede do web portal para o Conector de reunião local Zoom anterior à versão 4.6.360.20210325, MMR Conector de reunião local Zoom anterior à versão 4.6.360.20210325, Conector de gravação local Zoom anterior à versão 3.8.44.20210326, Conector de sala virtual local Zoom anterior à versão 4.4.6752.20210326, e o Balanceador de carga do conector de sala virtual local Zoom anterior à versão 2.5.5495.20210326 falham ao validar entrada em solicitações para atualizar a configuração da rede, o que poderia levar a uma injeção de comando remoto na imagem local pelos administradores do web portal. Produtos afetados:
Fonte: Comunicado por Egor Dimitrenko da Positive Technologies |
|||||
|
ZSB-21011 | 09/30/2021 | ZC trava ao usar um PDU o que causa muitas alocações | Crítica | CVE-2021-34415 |
Gravidade: Crítica Pontuação CVSS: 7.5 Sequência de vetor CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H Descrição: O serviço Zone Controller no Controlador do conector de reunião local Zoom, anterior à versão 4.6.358.20210205 não verifica o campo cnt enviado em pacotes de rede recebidos, o que poderia levar ao esgotamento de recursos e travar o sistema. Produtos afetados:
Fonte: Comunicado por Nikita Abramov da Positive Technologies |
|||||
|
ZSB-21010 | 09/30/2021 | Execução de código remoto contra o servidor do Conector de reunião por meio da configuração de proxy da rede do web portal | Crítica | CVE-2021-34414 |
Gravidade: Crítica Pontuação CVSS: 7.2 Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H Descrição: A página de proxy da rede no web portal para o Controlador de conector de reunião local Zoom, anterior à versão 4.6.348.20201217, MMR conector de reunião local Zoom anterior à versão 4.6.348.20201217, Conector de gravação local Zoom anterior à versão 3.8.42.20200905, Conector de sala virtual local Zoom anterior à versão 4.4.6620.20201110 e Balanceador de carga do conector de sala virtual local Zoom anterior à versão 2.5.5495.20210326, falha ao validar entrada enviada em solicitações para atualizar a configuração de proxy da rede, o que poderia levar a uma injeção de comando remoto na imagem local por um administrador do web portal. Produtos afetados:
Fonte: Comunicado por Egor Dimitrenko da Positive Technologies |
|||||
|
ZSB-21009 | 09/30/2021 | Escalação de privilégio local do plugin do Zoom macOS Outlook | Crítica | CVE-2021-34413 |
Gravidade: Crítica Pontuação CVSS: 2.8 Sequência de vetor CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N Descrição: Todas as versões do Zoom Plugin for Microsoft Outlook para macOS anteriores à versão 5.3.52553.0918 contêm uma vulnerabilidade Time-of-check Time-of-use [Tempo de Verificação até o Tempo de Uso] (TOC/TOU) durante o processo de instalação do plugin. Isso poderia permitir que qualquer usuário gravasse seu aplicativo mal-intencionado no diretório do plugin, permitindo que o aplicativo mal-intencionado fosse executado em um contexto privilegiado. Produtos afetados:
Fonte: Comunicado pela Lockheed Martin Red Team |
|||||
|
ZSB-21008 | 09/30/2021 | Escalação de privilégio local no instalador do Zoom para Windows | Crítica | CVE-2021-34412 |
Gravidade: Crítica Pontuação CVSS: 4.4 Sequência de vetor CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Descrição: Durante o processo de instalação de todas versões do Zoom Client for Meetings para Windows anteriores à versão 5.4.0, é possível executar o Internet Explorer. Se o instalador for executado com privilégios elevados, como SCCM, isso pode resultar em uma escalação de privilégio local. Produtos afetados:
Fonte: Comunicado pela Lockheed Martin Red Team |
|||||
|
ZSB-21007 | 09/30/2021 | Escalação de privilégio local no instalador do Zoom Rooms | Crítica | CVE-2021-34411 |
Gravidade: Crítica Pontuação CVSS: 4.4 Sequência de vetor CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Descrição: Durante o processo de instalação do Zoom Rooms para sala de conferência para Windows, anterior à versão 5.3.0 é possível executar o Internet Explores com privilégios elevados. Se o instalador for executado com privilégios elevados, como SCCM, isso pode resultar em uma escalação de privilégio local. Produtos afetados:
Fonte: Comunicado pela Lockheed Martin Red Team |
|||||
|
ZSB-21004 | 09/30/2021 | Instalador do Zoom MSI com privilégio de gravação elevado usando uma junção | Crítica | CVE-2021-34408 |
Gravidade: Crítica Pontuação CVSS: 7.0 Sequência de vetor CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Descrição: Um diretório do usuário com privilégios de gravação criado durante a instalação do Zoom Client for Meetings para Windows, anterior à versão 5.3.2 pode ser redirecionado para outro local usando uma junção. Isso permitiria que um invasor sobrescrevesse arquivos que um usuário limitado, de outra maneira, não conseguiria modificar. Produtos afetados:
Fonte: Comunicado pela Lockheed Martin Red Team |
|||||
|
ZSB-21003 | 09/30/2021 | Bypass da assinatura executável do instalador do Windows Zoom | Crítica | CVE-2021-33907 |
Gravidade: Crítica Pontuação CVSS: 7.0 Sequência de vetor CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H/MPR:N/MUI:R/MS:U/MC:H/MI:H/MA:H
Descrição: O Zoom Client for Meetings para Windows em todas as versões anteriores à 5.3.0 não consegue validar adequadamente as informações do certificado usado para assinar arquivos .msi ao executar uma atualização do cliente. Isso poderia levar a uma injeção de comando remota em um contexto de privilégio elevado. Produtos afetados:
Fonte: Comunicado pela Lockheed Martin Red Team |
|||||
|
ZSB-21002 | 08/13/2021 | Heap overflow de um buffer estático de gravação não checada de mensagem XMPP | Crítica | CVE-2021-30480 |
Gravidade: Crítica Pontuação CVSS: 8.1 Sequência de vetor CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H
Descrição: Um heap overflow existe em todas as versões Desktop do Zoom Client for Meetings anteriores à versão 5.6.3. Esta descoberta foi comunicada à Zoom como parte do Pwn20wn Vancouver 2021. A corrente de ataque demonstrada durante o Pwn20wn foi mitigada em uma alteração lateral do servidor na infraestrutura do Zoom em 09-04-2021. Produtos afetados:
Fonte: Relatado por Daan Keuper e Thijs Alkemade da Computest por meio da Iniciativa Dia Zero. |
|||||
|
ZSB-21001 | 03/26/2021 | Funcionalidade de Compartilhamento de Tela da Janela do Aplicativo | Crítica | CVE-2021-28133 |
Gravidade: Crítica Pontuação CVSS: 5.7 Sequência de vetor CVSS: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N
Descrição: Uma vulnerabilidade afetou a funcionalidade de tela dos clientes Zoom Windows e Linux ao compartilhar janelas de aplicativo individuais, nas quais o conteúdo de tela dos aplicativos que não são compartilhados explicitamente pelos usuários de compartilhamento de tela, se o "compartilhador" estiver minimizando, maximizando ou fechando outra janela. Produtos afetados:
Fonte: Descoberto por Michael Stramez e Matthias Deeg. |
|||||
|
ZSB-20002 | 08/14/2020 | Windows DLL no Serviço de Compartilhamento do Zoom | Crítica | CVE-2020-9767 |
Gravidade: Crítica Pontuação CVSS: 7.8 Sequência de vetor CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Descrição: Uma vulnerabilidade relacionada à Dynamic-link Library ("DLL") carregada no Serviço de Compartilhamento do Zoom poderia permitir um usuário local do Windows a escalar privilégios para aqueles usuários do NT AUTHORITY/SYSTEM. Produtos afetados:
Fonte: Connor Scott da Context Information Security |
|||||
|
ZSB-20001 | 05/04/2020 | Instalador Zoom IT para Windows | Crítica | CVE-2020-11443 |
Gravidade: Crítica Pontuação CVSS: Base: 8.4 Sequência de vetor CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H
Descrição: Uma vulnerabilidade em como o instalador do Zoom Windows trata junções ao excluir arquivos poderia permitir um usuário local do Windows para excluir arquivos, que de outra forma, não poderia ser excluídos pelo usuário. Produtos afetados:
Fonte: Obrigado a Equipe Vermelha da Lockheed Martin. |
|||||
|
ZSB-19003 | 07/12/2019 | ZoomOpener daemon | Crítica | CVE-2019-13567 |
Gravidade: Crítica Pontuação CVSS: Base: 7.5 Sequência de vetor CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Descrição: Uma vulnerabilidade no cliente Zoom para macOS poderia permitir que um invasor baixasse um software mal-intencionado para o dispositivo da vítima. Produtos afetados:
Fonte: Desconhecido. |
|||||
|
ZSB-19002 | 07/09/2019 | Configuração Padrão de Vídeo | Crítica | CVE-2019-13450 |
Gravidade: Crítica Pontuação CVSS: Base: 3.1 Sequência de vetor CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
Descrição: Uma vulnerabilidade nos clientes Zoom e RingCentral para macOS poderia permitir que um invasor remoto e não autenticado a forçar um usuário a ingressar em uma chamada de vídeo com a câmera de vídeo ativa. Produtos afetados:
Fonte: Descoberta por Jonathan Leitschuh. |
|||||
|
ZSB-19001 | 07/09/2019 | Ataque de negação de serviço - macOS | Crítica | CVE-2019-13449 |
Gravidade: Crítica Pontuação CVSS: Base: 3.1 Sequência de vetor CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Descrição: Uma vulnerabilidade nos clientes Zoom para macOS poderia permitir que um invasor remoto e não autenticado a disparar uma condição de negação de serviço no sistema de uma vítima. Produtos afetados:
Fonte: Descoberta por Jonathan Leitschuh. |
|||||
No results found |
Forneça o seu endereço de e-mail para receber notificações sobre os futuros Boletins de segurança do Zoom. (Observação: alias de e-mail não receberão estas notificações.)