Zoom masaüstü ve VDI istemcileri ve Windows için toplantı SDK, kimlik doğrulanmamış bir saldırganın ağ üzerinden hedef sistem üzerinde ayrıcalık artışı yapmasına izin verebilecek yanlış bir giriş doğrulama kusuruna karşı savunmasızdır.
Zoom, kurumsal toplantılar, eğitim dersleri, sosyal etkileşimler/toplantılar ve daha fazlası için popüler bir bulut tabanlı video konferans hizmetidir. Ekran paylaşımı, toplantı kaydı, özel arka planlar, toplantı içi sohbet ve çeşitli verimlilik odaklı özellikler sunar.
Birçok kuruluş operasyonları ve iş sürekliliğini korumak için uzaktan çözümlere döndüğünde Covid-19 pandemi sırasında yazılımın popülaritesi arttı. Nisan 2020'ye kadar, günde 300 milyon toplantı katılımcısı zirveye ulaştı.
Yeni açıklanan kusur CVE-2024-24691 olarak izlendi ve Zoom'un hücum güvenlik ekibi tarafından keşfedildi ve 9.6 CVSS V3.1 puanı aldı ve "kritik" derecelendirdi.
Güvenlik açığı aşağıdaki ürün sürümlerini etkiler:
Kusurun kısa açıklaması, nasıl kullanılabileceğini veya yansımaların ne olabileceğini belirtmez, ancak CVSS vektörü bazı kullanıcı etkileşimi gerektirdiğini gösterir.
Bu, bir bağlantının tıklanmasını, bir mesaj ekini açmayı veya saldırganın CVE-2024-24691'den yararlanmak için kaldırabileceği başka bir eylem gerçekleştirmeyi içerebilir.
Çoğu insan için Zoom, kullanıcıları otomatik olarak en son sürüme güncellemelerini istemelidir. Ancak, buradan Windows, sürüm 5.17.7 için masaüstü istemcisinin en son sürümünü manuel olarak indirebilir ve yükleyebilirsiniz.
Yanlış giriş doğrulama kusurunun yanı sıra, en son Zoom sürümü de aşağıdaki altı güvenlik açığını ele almaktadır:
Zoom kullanıcıları, harici aktörlerin ayrıcalıklarını hassas verileri çalmasına, toplantılarda bozmalarına veya gizlemelerine izin veren bir seviyeye yükseltme olasılığını azaltmak için güvenlik güncellemesini mümkün olan en kısa sürede uygulamalıdır.
ExpressVPN Bug yıllardır bazı DNS isteklerini sızdırıyor
Yeni 'Looney Tunables' Linux hatası büyük dağıtımlarda kök veriyor
Fortra, yeni eleştirel Goanywhere Mft Auth Bypass'ı uyarıyor, şimdi yama
Aktif olarak sömürülen hatalara karşı savunmasız 13.000'den fazla Ivanti Gateways
Microsoft: Yeni Kritik Exchange Hatası Sıfır Gün olarak kullanıldı
Kaynak: Bleeping Computer