Videokonferenzsysteme haben sich in der Pandemie bewährt und vermeiden viele unnötige persönliche Kontakte. Die Videokonferenzlösungen aus dem Hause Zoom wiesen allerdings bis dato Sicherheitslücken auf, die zum Teil ein hohes Risiko darstellten, weil Angreifer darüber Schadcode ausführen konnten.

Es gibt zwei Sicherheitslücken

Zoom meldete zwei Sicherheitslücken in seiner Videokonferenz-Software: Das Leck mit dem größeren Risiko ergibt sich durch eine Pufferüberlauf, der es Angreifern gestattet, den Dienst oder die Anwendungen zum Absturz zu bringen und dann beliebigen Code auszuführen. Zoom selbst bewertet diese Lücke mit dem Risiko “hoch” (CVSS-Score 7.3).

Die andere Schwachstelle könnte den Status des Prozessspeichers offenlegen und damit böswilligen Akteuren Einsicht in beliebige Speicherbereiche des Prozesses ermöglichen. Dadurch könnten Angreifer unbefugt an sensible Informationen gelangen. Der Hersteller stuft das als ein mittleres Risiko mit einem (CVSS-Score 5.3) ein.

Betroffene Zoom-Versionen

Von dem Problem sind mehrere Programme und Dienste des Herstellers betroffen. Am weitesten verbreitet sind davon der Zoom Client für Meetings für Android, Blackberry, Chrome, intune, iOS, Linux, macOS und Windows.

Auch in den Zoom OnPremise Meeting Connectors, in den Zoom Meeting SDKs und in diversen weiteren Anwendungen schließen die Updates die Sicherheitslücken.

Die neuen Security-Bulletins finden Sie unter Zoom-Sicherheitsmeldungen/Übersichtsseite. Dort hat Zoom ausführlich alle betroffenen Software-Produkte und Versionsstände gelistet, und aktualisierte Pakete stehen für jedes einzelne bereit.

Die fehlerbereinigten Zoom Clients und den Controller für Zoom Rooms finden Sie auf der öffentlichen Download-Seite. Alle anderen bereinigten Pakete erhalten Administratoren über die ihnen bekannten Zugänge. Wegen der hohen Risikoeinstufung sollten Nutzer und Administratoren der Videokonferenzlösungen sie unbedingt möglichst schnell updaten.