Trust Center Security, Privacy, Blogs Additional Resources

Boletim de segurança

This page may be out of date while it is being translated, please refer to to the official English site for the latest security bulletins.

Todos os níveis de gravidade
  • Todos os níveis de gravidade
  • Crítica
  • Alta
  • Média
  • Baixa
Todas as CVE
  • Todas as CVE
  • CVE-2023-39209
  • CVE-2023-39214
  • CVE-2023-39213
  • CVE-2023-39212
  • CVE-2023-39211
  • CVE-2023-39210
  • CVE-2023-39218
  • CVE-2023-39217
  • CVE-2023-39216
  • CVE-2023-36535
  • CVE-2023-36534
  • CVE-2023-36533
  • CVE-2023-36532
  • CVE-2023-36541
  • CVE-2023-36540
  • CVE-2023-36538
  • CVE-2023-36537
  • CVE-2023-36536
  • CVE-2023-34119
  • CVE-2023-34118
  • CVE-2023-34117
  • CVE-2023-34116
  • CVE-2023-36539
  • CVE-2023-34115
  • CVE-2023-34114
  • CVE-2023-34113
  • CVE-2023-34122
  • CVE-2023-34121
  • CVE-2023-34120
  • CVE-2023-28603
  • CVE-2023-28602
  • CVE-2023-28601
  • CVE-2023-28600
  • CVE-2023-28599
  • CVE-2023-28598
  • CVE-2023-28597
  • CVE-2023-28596
  • CVE-2023-22883
  • CVE-2023-22881
    CVE-2023-22882
  • CVE-2023-22880
  • CVE-2022-36930
  • CVE-2022-36929
  • CVE-2022-36928
  • CVE-2022-36926
    CVE-2022-36927
  • CVE-2022-36925
  • CVE-2022-36924
  • CVE-2022-28768
  • CVE-2022-28766
  • CVE-2022-28764
  • CVE-2022-28763
  • CVE-2022-28762
  • CVE-2022-28761
  • CVE-2022-28760
  • CVE-2022-28758
    CVE-2022-28759
  • CVE-2022-28757
  • CVE-2022-28756
  • CVE-2022-28751
  • CVE-2022-28753
    CVE-2022-28754
  • CVE-2022-28755
  • CVE-2022-28750
  • CVE-2022-28749
  • CVE-2022-22788
  • CVE-2022-22787
  • CVE-2022-22786
  • CVE-2022-22785
  • CVE-2022-22784
  • CVE-2022-22783
  • CVE-2022-22782
  • CVE-2022-22781
  • CVE-2022-22780
  • CVE-2022-22779
  • CVE-2021-34426
  • CVE-2021-34425
  • CVE-2021-34424
  • CVE-2021-34423
  • CVE-2021-34422
  • CVE-2021-34421
  • CVE-2021-34420
  • CVE-2021-34419
  • CVE-2021-34418
  • CVE-2021-34417
  • CVE-2021-34416
  • CVE-2021-34415
  • CVE-2021-34414
  • CVE-2021-34413
  • CVE-2021-34412
  • CVE-2021-34411
  • CVE-2021-34408
  • CVE-2021-33907
  • CVE-2021-30480
  • CVE-2021-28133
  • CVE-2020-9767
  • CVE-2020-11443
  • CVE-2019-13567
  • CVE-2019-13450
  • CVE-2019-13449
Pesquisar

Boletim de segurança

A Zoom não fornece, a clientes individuais, orientações relacionadas às consequências de vulnerabilidade de um Boletim de Segurança Zoom, nem fornece detalhes adicionais sobre dada vulnerabilidade. Recomendamos que os usuários façam a atualização para a última versão do software Zoom para obter as correções e as melhorias de segurança mais recentes.

ZSB Data Título Gravidade CVE (se aplicável)
ZSB-23041 08/08/2023 Cliente Zoom para computador para Windows - Validação de entrada indevida Média CVE-2023-39209

Gravidade: Média

Pontuação CVSS: 5.9

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Descrição: A validação de entrada indevida no Cliente Zoom para computador para Windows anterior à versão 5.15.5 pode permitir que um usuário autenticado habilite uma divulgação de informações através do acesso à rede.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Cliente Zoom para computador para Windows anterior à versão 5.15.5

Fonte: Relatado pela equipe de segurança ofensiva do Zoom.

ZSB-23039 08/08/2023 SDKs do cliente Zoom - Exposição de informações confidenciais Alta CVE-2023-39214

Gravidade: Alta

Pontuação CVSS: 7.6

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H

Descrição: Exposição de informações confidenciais no SDK do cliente Zoom anterior à versão 5.15.5 pode permitir que um usuário autenticado habilite uma negação de serviço através do acesso à rede.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • SDK do Cliente Zoom para Windows anterior à versão 5.15.5
  • SDK do cliente Zoom para iOS anterior à versão 5.15.5
  • SDK do cliente Zoom para Android anterior à versão 5.15.5
  • SDK do Zoom Meeting para Android anterior à versão 5.15.5
  • SDK do cliente Zoom para Linux anterior à versão 5.15.5

Fonte: Relatado pela equipe de segurança ofensiva do Zoom.

ZSB-23038 08/08/2023 Cliente Zoom para computador para Windows e cliente VDI do Zoom - Neutralização indevida de elementos especiais Crítica CVE-2023-39213

Gravidade: Crítica

Pontuação CVSS: 9.6

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Descrição: A neutralização indevida de elementos especiais no Cliente Zoom para computador para Windows e no cliente VDI do Zoom, anteriores à versão 5.15.2 pode permitir que um usuário não autorizado habilite uma escalação de privilégio através do acesso à rede.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Cliente Zoom para computador para Windows anterior à versão 5.15.2
  • Cliente VDI do Zoom anterior à versão 5.15.2

Fonte: Relatado pela equipe de segurança ofensiva do Zoom.

ZSB-23037 08/08/2023 Zoom Rooms para Windows - Caminho de pesquisa não confiável Alta CVE-2023-39212

Gravidade: Alta

Pontuação CVSS: 7.9

Sequência de vetor CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

Descrição: O caminho de pesquisa não confiável no Zoom Rooms para Windows anterior à versão 5.15.5 pode permitir que um usuário autenticado habilite uma negação de serviço através de um acesso local.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Zoom Rooms para Windows anterior à versão 5.15.5

Fonte: Denunciado por sim0nsecurity.

ZSB-23036 08/08/2023 Cliente Zoom para computador para Windows e cliente VDI do Zoom - Gerenciamento de privilégio indevido Alta CVE-2023-39211

Gravidade: Alta

Pontuação CVSS: 8.8

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Descrição: O gerenciamento de privilégio indevido no Cliente Zoom para computador para Windows e no Zoom Rooms para Windows anteriores à versão 5.15.5 pode permitir que um usuário autenticado habilite uma divulgação de informações através do acesso local.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Cliente Zoom para computador para Windows anterior à versão 5.15.5
  • Zoom Rooms para Windows anterior à versão 5.15.5

Fonte: Denunciado por sim0nsecurity.

ZSB-23035 08/08/2023 SDK do cliente Zoom para Windows - Limpeza de armazenamento de texto com informações confidenciais Média CVE-2023-39210

Gravidade: Média

Pontuação CVSS: 5.5

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Descrição: A limpeza de armazenamento de texto com informações confidenciais no SDK do Cliente Zoom para Windows anterior à versão 5.15.0 pode permitir que um usuário autenticado habilite uma divulgação de informações através do acesso local.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • SDK do Cliente Zoom para Windows anterior à versão 5.15.0

Fonte: Denunciado por sim0nsecurity.

ZSB-23034 08/08/2023 Clientes Zoom - Aplicação no lado do cliente da segurança do lado do servidor Média CVE-2023-39218

Gravidade: Média

Pontuação CVSS: 6.5

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

Descrição: A aplicação no lado do cliente da segurança do lado do servidor em clientes Zoom anteriores à versão 5.14.10 pode permitir que um usuário privilegiado habilite a divulgação de informações através do acesso à rede.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Cliente Zoom para computador para Windows anterior à versão 5.14.10
  • Cliente Zoom para computador para macOS anterior à versão 5.14.10
  • Cliente Zoom para computador para Linux anterior à versão 5.14.10
  • Host e plugin VDI do Zoom anterior à versão 5.14.10
  • Aplicativo Zoom para dispositivo móvel para Android anterior à versão 5.14.10
  • Aplicativo Zoom para dispositivo móvel para iOS anterior à versão 5.14.10
  • Zoom Rooms para iPad anterior à versão 5.14.10
  • Zoom Rooms para Android anterior à versão 5.14.10
  • Zoom Rooms para Windows anterior à versão 5.14.10
  • Zoom Rooms para macOS anterior à versão 5.14.10

Fonte: Relatado pela equipe de segurança ofensiva do Zoom.

ZSB-23033 08/08/2023 SDK do Zoom - Validação de entrada indevida Crítica CVE-2023-39217

Gravidade: Crítica

Pontuação CVSS: 5.3

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Descrição: Validação de entrada indevida no SDK do Zoom anterior à versão 5.14.10 pode permitir que um usuário não autenticado habilite uma negação de serviço através do acesso à rede.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • SDK do Zoom Meeting para Windows anterior à versão 5.14.10
  • SDK do cliente Zoom anterior à versão 5.14.10
  • SDK do cliente Zoom para Android anterior à versão 5.14.10
  • SDK do Zoom Meeting para Android anterior à versão 5.14.10
  • SDK do cliente Zoom para Linux anterior à versão 5.14.10

Fonte: Relatado pela equipe de segurança ofensiva do Zoom.

ZSB-23032 08/08/2023 Cliente Zoom para computador para Windows - Validação de entrada indevida Crítica CVE-2023-39216

Gravidade: Crítica

Pontuação CVSS: 9.6

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Descrição: A validação de entrada indevida no Cliente Zoom para computador para Windows anterior à versão 5.14.7 pode permitir que um usuário não autenticado habilite uma escalação de privilégio através do acesso à rede.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Cliente Zoom para computador para Windows anterior à versão 5.14.7

Fonte: Relatado pela equipe de segurança ofensiva do Zoom.

ZSB-23031 08/08/2023 Clientes Zoom - Aplicação no lado do cliente da segurança do lado do servidor Crítica CVE-2023-36535

Gravidade: Crítica

Pontuação CVSS: 7.1

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L

Descrição: A aplicação no lado do cliente da segurança do lado do servidor em clientes Zoom anteriores à versão 5.14.10 pode permitir que um usuário autenticado habilite a divulgação de informações através do acesso à rede.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Clientes Zoom para Windows anteriores à versão 5.14.10
  • Cliente Zoom para computador para macOS anterior à versão 5.14.10
  • Cliente Zoom para computador para Linux anterior à versão 5.14.10
  • Host e plugin VDI do Zoom anterior à versão 5.14.10
  • Aplicativo Zoom para dispositivo móvel para Android anterior à versão 5.14.10
  • Aplicativo Zoom para dispositivo móvel para iOS anterior à versão 5.14.10
  • Zoom Rooms para iPad anterior à versão 5.14.10
  • Zoom Rooms para Android anterior à versão 5.14.10
  • Zoom Rooms para Windows anterior à versão 5.14.10
  • Zoom Rooms para macOS anterior à versão 5.14.10

Fonte: Relatado pela equipe de segurança ofensiva do Zoom.

ZSB-23030 08/08/2023 Cliente Zoom para computador para Windows - Ataque de passagem Crítica CVE-2023-36534

Gravidade: Crítica

Pontuação CVSS: 9.3

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H

Descrição: O ataque de passagem no Cliente Zoom para computador para Windows anterior à versão 5.14.7 pode permitir que um usuário não autenticado habilite uma escalação de privilégio através do acesso à rede.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Cliente Zoom para computador para Windows anterior à versão 5.14.7

Fonte: Relatado pela equipe de segurança ofensiva do Zoom.

ZSB-23029 08/08/2023 SDK do Zoom - Consumo descontrolado de recursos Crítica CVE-2023-36533

Gravidade: Crítica

Pontuação CVSS: 7.1

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H

Descrição: O consumo descontrolado de recursos no SDK do Zoom anterior à versão 5.14.7 pode permitir que um usuário não autenticado habilite uma negação de serviço através do acesso à rede.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • SDK do Cliente Zoom para Windows anterior à versão 5.14.7
  • SDK do cliente Zoom para iOS anterior à versão 5.14.7
  • SDK do cliente Zoom para Android anterior à versão 5.14.7
  • SDK do cliente Zoom para macOS anterior à versão 5.14.7
  • SDK do cliente Zoom para Linux anterior à versão 5.14.7

Fonte: Relatado pela equipe de segurança ofensiva do Zoom.

ZSB-23028 08/08/2023 Clientes Zoom - Estouro de buffer Crítica CVE-2023-36532

Gravidade: Crítica

Pontuação CVSS: 5.9

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Descrição: O estouro de buffer nos clientes Zoom anteriores à versão 5.14.5 pode permitir que um usuário não autenticado habilite uma negação de serviço através do acesso à rede.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Cliente Zoom para computador para Windows anterior à versão 5.14.5
  • Cliente Zoom para computador para macOS anterior à versão 5.14.5
  • Cliente Zoom para computador para Linux anterior à versão 5.14.5
  • Host e plugin VDI do Zoom anterior à versão 5.14.5
  • Aplicativo Zoom para dispositivo móvel para Android anterior à versão 5.14.5
  • Aplicativo Zoom para dispositivo móvel para iOS anterior à versão 5.14.5
  • Zoom Rooms para iPad anterior à versão 5.14.5
  • Zoom Rooms para Android anterior à versão 5.14.5
  • Zoom Rooms para Windows antes da versão 5.14.5
  • Zoom Rooms for macOS anteriores à versão 5.14.5

Fonte: Relatado pela equipe de segurança ofensiva do Zoom.

ZSB-23027 08/08/2023 Cliente Zoom para computador para Windows - Verificação insuficiente da autenticidade de dados Crítica CVE-2023-36541

Gravidade: Crítica

Pontuação CVSS: 8

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Descrição: A verificação insuficiente da autenticidade de dados no Cliente Zoom para computador para Windows anterior à versão 5.14.5, pode permitir que um usuário autenticado habilite um aumento de privilégios através do acesso à rede.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Cliente Zoom para computador para Windows anterior à versão 5.14.5

Fonte: Denunciado por sim0nsecurity.

ZSB-23026 08/08/2023 Cliente Zoom para computador para Windows - Caminho de pesquisa não confiável Crítica CVE-2023-36540

Gravidade: Crítica

Pontuação CVSS: 7.3

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Descrição: O caminho de pesquisa não confiável no instalador do Cliente Zoom para computador para Windows anterior à versão 5.14.5 pode permitir que um usuário autenticado habilite uma escalação de privilégio através de um acesso local.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Cliente Zoom para computador para Windows anterior à versão 5.14.5

Fonte: Denunciado por sim0nsecurity.

ZSB-23024 07/11/2023 Controle de Acesso Indevido Crítica CVE-2023-36538

Gravidade: Crítica

Pontuação CVSS: 8.4

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Descrição: O controle de acesso indevido no Zoom Rooms para Windows antes da versão 5.15.0 pode permitir que um usuário autenticado habilite uma escalação de privilégio através de um acesso local.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Zoom Rooms para Windows antes da versão 5.15.0

Fonte: Denunciado por sim0nsecurity.

ZSB-23023 07/11/2023 Gestão imprópria de privilégios Crítica CVE-2023-36537

Gravidade: Crítica

Pontuação CVSS: 7.3

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Descrição: O gerenciamento de privilégio indevido no Zoom Rooms para Windows antes da versão 5.14.5 pode permitir que um usuário autenticado habilite uma escalação de privilégio através de um acesso local.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Zoom Rooms para Windows antes da versão 5.14.5

Fonte: Denunciado por sim0nsecurity.

ZSB-23022 07/11/2023 Caminho de pesquisa não confiável Crítica CVE-2023-36536

Gravidade: Crítica

Pontuação CVSS: 8.2

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Descrição: O caminho de pesquisa não confiável no instalador do Zoom Rooms para Windows antes da versão 5.15.0 pode permitir que um usuário autenticado habilite uma escalação de privilégio através de um acesso local.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Zoom Rooms para Windows antes da versão 5.15.0

Fonte: Denunciado por sim0nsecurity.

ZSB-23021 07/11/2023 Arquivo temporário inseguro Crítica CVE-2023-34119

Gravidade: Crítica

Pontuação CVSS: 8.2

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Descrição: O arquivo temporário inseguro no instalador do Zoom Rooms para Windows antes da versão 5.15.0 pode permitir que um usuário autenticado habilite uma escalação de privilégio através de um acesso local.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Zoom Rooms para Windows antes da versão 5.15.0

Fonte: Denunciado por sim0nsecurity.

ZSB-23020 07/11/2023 Gestão imprópria de privilégios Crítica CVE-2023-34118

Gravidade: Crítica

Pontuação CVSS: 7.3

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Descrição: O gerenciamento de privilégio indevido no Zoom Rooms para Windows antes da versão 5.14.5 pode permitir que um usuário autenticado habilite uma escalação de privilégio através de um acesso local.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Zoom Rooms para Windows antes da versão 5.14.5

Fonte: Denunciado por sim0nsecurity.

ZSB-23019 07/11/2023 Ataque de passagem relativo Crítica CVE-2023-34117

Gravidade: Crítica

Pontuação CVSS: 3.3

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

Descrição: O ataque de passagem relativo no SDK do cliente Zoom antes da versão 5.15.0 pode permitir que um usuário não autorizado habilite informações de divulgação através do acesso local.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • SDK do Zoom Client antes da versão 5.15.0

Fonte: Comunicado por Dimitrios Valsamaras da Microsoft.

ZSB-23018 07/11/2023 Validação imprópria da entrada Crítica CVE-2023-34116

Gravidade: Crítica

Pontuação CVSS: 8.2

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:H

Descrição: A validação de entrada indevida no Cliente Zoom para computador para Windows antes da versão 5.15.0 pode permitir que um usuário não autorizado habilite uma escalação de privilégio através do acesso à rede.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Cliente Zoom para computador 5.15.0 para Windows

Fonte: Denunciado por sim0nsecurity.

ZSB-23025 06/29/2023 Exposição de informações confidenciais Crítica CVE-2023-36539

Gravidade: Crítica

Pontuação CVSS: 5.3

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

Descrição: Exposição de informações de alguns clientes Zoom, que deveriam ser criptografadas, pode resultar na divulgação de informações confidenciais.

O Zoom criptografa mensagens de chat dentro da reunião usando uma chave por reunião e, em seguida, transmite essas mensagens criptografadas entre os dispositivos do usuário e o Zoom, usando a criptografia TLS. Nos produtos afetados, uma cópia de cada mensagem do chat dentro da reunião também era enviada criptografada usando apenas a criptografia TLS, sem a chave por reunião, incluindo mensagens enviadas durante reuniões criptografadas ponta a ponta (E2EE).

Os usuários podem ajudar a se manter protegidos aplicando as atualizações mais recentes ou baixar o software do Zoom com todas as atualizações de segurança em https://zoom.us/download, além de evitarem usar o chat dentro da reunião enquanto estiverem usando as versões afetadas.

Produtos afetados:

  • Cliente Zoom para computador v5.15.0 e 5.15.1 para Windows
  • Cliente Zoom para computador, apenas versão 5.15.0 para macOS
  • Cliente Zoom para Desktop, versão 5.15.0 apenas, para Linux
  • Aplicativo Zoom para celular para iOS, versão 5.15.0 apenas
  • Aplicativo Zoom para dispositivo móvel para Android, versão 5.15.0 apenas
  • Zoom Rooms para Windows, versão 5.15.0 apenas
  • Zoom Rooms para macOS, apenas versão 5.15.0
  • Zoom Rooms para iPad, apenas versão 5.15.0
  • Equipamento para Zoom Phone, apenas versão 5.15.0
  • Zoom Meeting SDK para Android, apenas versão 5.15.0
  • Zoom Meeting SDK para iOS, apenas versão 5.15.0
  • Zoom Meeting SDK para macOS, apenas versão 5.15.0
  • Zoom Meeting SDK para Windows, apenas versão 5.15.0
  • SDK do Zoom Video para Windows, apenas versão 1.8.0
  • SDK do Zoom Video para macOS, apenas versão 1.8.0
  • SDK do Zoom Video para Android, apenas versão 1.8.0
  • SDK do Zoom Video, versão do iOS, apenas 1.8.0
  • SDK do Zoom Video para Linux, apenas versão 1.8.0

Fonte: Relatado pela equipe de segurança ofensiva do Zoom.

ZSB-23017 06/13/2023 Cópia de buffer sem verificar o tamanho da entrada Crítica CVE-2023-34115

Gravidade: Crítica

Pontuação CVSS: 4.0

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Descrição: A cópia de buffer sem verificar o tamanho da entrada no Zoom Meeting SDK, versões anteriores à 5.13.0, pode permitir que um usuário autenticado realize uma negação de serviço por meio de acesso local. O problema pode fazer com que o Zoom Meeting SDK pare de funcionar e precise ser reiniciado.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Zoom Meeting SDK, versões anteriores à 5.13.0.

Fonte: Relatado por Eugene Lim

ZSB-23016 06/13/2023 Exposição de recurso à esfera errada Crítica CVE-2023-34114

Gravidade: Crítica

Pontuação CVSS: 4.3

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N

Descrição: A exposição de recurso à esfera errada nos clientes Zoom for Windows e Zoom for macOS, versões anteriores à 5.14.10, pode permitir que um usuário autenticado divulgue informações por meio de acesso da rede.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Zoom for Windows, versões anteriores à 5.14.10
  • Zoom for macOS, versões anteriores à 5.14.10

Fonte: Relatado por Siddhi Katariya (chikorita)

ZSB-23015 06/13/2023 Verificação insuficiente da autenticidade de dados Crítica CVE-2023-34113

Gravidade: Crítica

Pontuação CVSS: 8

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Descrição: A verificação insuficiente da autenticidade de dados nos clientes Zoom for Windows, versões anteriores à 5.14.0, pode permitir que um usuário autenticado obtenha um aumento de privilégios por meio de acesso da rede.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Clientes Zoom for Windows, versões anteriores à 5.14.0

Fonte: Relatado por sim0nsecurity

ZSB-23014 06/13/2023 Validação imprópria da entrada Crítica CVE-2023-34122

Gravidade: Crítica

Pontuação CVSS: 7.3

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Descrição: A validação imprópria da entrada no instalador dos clientes Zoom for Windows, versões anteriores à 5.14.0, pode permitir que um usuário autenticado obtenha um aumento de privilégios por meio de acesso local.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Clientes Zoom for Windows, versões anteriores à 5.14.0

Fonte: Relatado por sim0nsecurity

ZSB-23013 06/13/2023 Validação imprópria da entrada Crítica CVE-2023-34121

Gravidade: Crítica

Pontuação CVSS: 4.9

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N

Descrição: A validação imprópria da entrada nos clientes Zoom for Windows, Zoom Rooms e Zoom VDI Windows Meeting, versões anteriores à 5.14.0, pode permitir que um usuário autenticado obtenha um aumento de privilégios por meio de acesso da rede.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Clientes Zoom for Windows, versões anteriores à 5.14.0
  • Cliente Zoom Rooms for Windows, versões anteriores à 5.14.0
  • Clientes Zoom VDI Windows Meeting, versões anteriores à 5.14.0

Fonte: Relatado por Mohit Rawat - ASPIA InfoTech

ZSB-23012 06/13/2023 Gestão imprópria de privilégios Crítica CVE-2023-34120

Gravidade: Crítica

Pontuação CVSS: 8.7

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L

Descrição: A gestão imprópria de privilégios nos clientes Zoom for Windows, Zoom Rooms for Windows e Zoom VDI for Windows, versões anteriores à 5.14.0, pode permitir que um usuário autenticado obtenha um aumento de privilégios por meio de acesso local. Os usuários podem usar os privilégios do sistema de nível superior mantidos pelo cliente Zoom para criar processos com privilégios superiores.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Clientes Zoom for Windows, versões anteriores à 5.14.0
  • Cliente Zoom Rooms for Windows, versões anteriores à 5.14.0
  • Clientes Zoom VDI Windows Meeting, versões anteriores à 5.14.0

Fonte: Relatado por sim0nsecurity

ZSB-23011 06/13/2023 Controle impróprio de acesso no instalador do cliente Zoom VDI Crítica CVE-2023-28603

Gravidade: Crítica

Pontuação CVSS: 7.7

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:L

Descrição: O instalador do cliente Zoom VDI, versões anteriores à 5.14.0, contém uma vulnerabilidade de controle impróprio de acesso. Um usuário mal-intencionado poderia excluir arquivos locais sem ter as permissões devidas.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Instalador do Zoom VDI Windows Meeting, versões anteriores à 5.14.0

Fonte: Relatado por sim0nsecurity

ZSB-23010 06/13/2023 Verificação imprópria da assinatura criptográfica em clientes Zoom Crítica CVE-2023-28602

Gravidade: Crítica

Pontuação CVSS: 2.8

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N

Descrição: Os clientes Zoom for Windows, versões anteriores à 5.13.5, contêm uma vulnerabilidade de verificação imprópria de assinaturas criptográficas. Um usuário mal-intencionado poderia rebaixar componentes do cliente Zoom para versões anteriores.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Clientes Zoom for Windows, versões anteriores à 5.13.5

Fonte: Comunicado por Kirin (Pwnrin)

ZSB-23009 06/13/2023 Restrição imprópria de operações nos limites de um buffer de memória nos clientes Zoom Crítica CVE-2023-28601

Gravidade: Crítica

Pontuação CVSS: 2

Sequência de vetor CVSS: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

Descrição: Os clientes Zoom for Windows, versões anteriores à 5.14.0, contêm uma vulnerabilidade de restrição imprópria de operações nos limites de um buffer de memória. Um usuário mal-intencionado poderia alterar o buffer de memória protegido de um cliente Zoom, criando problemas de integridade.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Clientes Zoom for Windows, versões anteriores à 5.14.0

Fonte: Relatado por sim0nsecurity

ZSB-23008 06/13/2023 Controle impróprio de acesso em clientes Zoom Crítica CVE-2023-28600

Gravidade: Crítica

Pontuação CVSS: 6.6

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:L

Descrição: Os clientes Zoom for macOS, versões anteriores à 5.14.0, contêm uma vulnerabilidade de controle impróprio de acesso. Um usuário mal-intencionado poderia excluir ou substituir arquivos do cliente Zoom, provocando perda de integridade e disponibilidade.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Clientes Zoom for macOS, versões anteriores à 5.14.0

Fonte: Relatado por Koh M. Nakagawa (@tsunek0h)

ZSB-23007 06/13/2023 Vulnerabilidade de injeção HTML em clientes Zoom Crítica CVE-2023-28599

Gravidade: Crítica

Pontuação CVSS: 4.2

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

Descrição: Os clientes Zoom, versões anteriores à 5.13.10, contêm uma vulnerabilidade de injeção HTML. Um usuário mal-intencionado poderia injetar HTML no seu nome de exibição, levando uma eventual vítima a um site nocivo ao criar uma reunião

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Clientes Zoom for Android, iOS, Linux, macOS e Windows, versões anteriores à 5.13.10

Fonte: Relatado por Mohit Rawat - ASPIA InfoTech

ZSB-23006 06/13/2023 Injeção HTML nos clientes Zoom Linux Crítica CVE-2023-28598

Gravidade: Crítica

Pontuação CVSS: 7.5

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Descrição: Os clientes Zoom for Linux, versões anteriores à 5.13.10, contêm uma vulnerabilidade de injeção HTML. Se uma vítima iniciar um chat com um usuário mal-intencionado, o aplicativo Zoom poderá parar de funcionar.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Clientes Zoom for Linux, versões anteriores à 5.13.10

Fonte: Relatado por Antoine Roly (aroly)

ZSB-23005 03/14/2023 Implementação de limite inadequado de confiança para o SMB em clientes Zoom [Updated 2023-04-07] Crítica CVE-2023-28597

Gravidade: Crítica

Pontuação CVSS: 8.3

Sequência de vetor CVSS: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

Descrição: Os clientes Zoom anteriores à versão 5.13.5 contém uma vulnerabilidade de implementação de limite inadequado de confiança. Se uma vítima salvar uma gravação local em uma localização SMB e posteriormente abri-la usando um link do portal da web do Zoom, um invasor posicionado em uma rede adjacente a do cliente vítima poderia configurar um servidor SMB mal-intencionado para responder a solicitações do cliente, fazendo com que o cliente rodasse executáveis controlados pelo invasor. Como resultado, o invasor poderia ter acesso ao dispositivo e dados do usuário e na execução de códigos remotos.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

*Alterações - 2023-04-07 - Removeram-se Android e iOS da seção “Produtos afetados”

Produtos afetados:

  • Clientes Zoom (for Linux, macOS e Windows), versões anteriores à 5.13.5
  • Clientes Zoom Rooms (for Linux, macOS e Windows), versões anteriores à 5.13.5
  • Clientes Zoom VDI Windows Meeting anteriores à versão 5.13.10

Fonte: Relatado pela equipe de segurança ofensiva Zoom

ZSB-23004 03/14/2023 Escalação de privilégio local nos instaladores do Zoom for macOS Crítica CVE-2023-28596

Gravidade: Crítica

Pontuação CVSS: 5.2

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L

Descrição: Instaladores macOS do cliente Zoom para administrador de TI anteriores a versão 5.13.5 contém uma vulnerabilidade de escalação de privilégio local. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade em uma corrente de ataque durante o processo de instalação para escalar seus privilégios para privilégios até a raiz.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Instaladores macOS do Zoom Client for Meetings para Administrador de TI anteriores à versão 5.13.5

Fonte: Reportado por Koh M. Nakagawa (tsunekoh)

ZSB-23003 03/14/2023 Escalação de privilégio local em instaladores do Zoom for Windows Crítica CVE-2023-22883

Gravidade: Crítica

Pontuação CVSS: 7.2

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:N/I:H/A:H

Descrição: Instaladores Windows do cliente Zoom para administrador de TI anteriores a versão 5.13.5 contém uma vulnerabilidade de escalação de privilégio local. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade em uma corrente de ataque durante o processo de instalação para escalar seus privilégios para o usuário do SISTEMA.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Instaladores Windows do Zoom Client for Meetings para Administrador de TI anteriores à versão 5.13.5

Fonte: Relatado por sim0nsecurity

ZSB-23002 03/14/2023 Negação de serviço em clientes Zoom Crítica CVE-2023-22881
CVE-2023-22882

Gravidade: Crítica

Pontuação CVSS: 6.5

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Descrição: Clientes Zoom anteriores à versão 5.13.5 contém uma vulnerabilidade de análise STUN. Um ator mal-intencionado poderia enviar um tráfego UDP criado especialmente para um cliente Zoom vítima para, remotamente, fazer com que o cliente trave, causando uma negação de serviço.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Clientes Zoom (for Android, iOS, Linux, macOS e Windows) anteriores à versão 5.13.5

Fonte: Relatado pela equipe de segurança ofensiva Zoom

ZSB-23001 03/14/2023 Divulgação de informações nos clientes Zoom for Windows Crítica CVE-2023-22880

Gravidade: Crítica

Pontuação CVSS: 6.8

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N

Descrição: Os clientes Zoom for Windows anteriores à versão 5.13.3, clientes Zoom Rooms for Windows anteriores à versão 5.13.5 e clientes Zoom VDI for Windows anteriores à versão 5.13.1 contém uma vulnerabilidade de divulgação de informações. Uma atualização recente do Microsoft Edge WebView2 Runtime usada pelos clientes Zoom afetados, transmitia texto para o serviço de correção ortográfica e gramatical on-line da Microsoft, ao invés de fazê-lo usando a correção de ortografia e gramática local do Windows. Atualizar o Zoom resolve esta vulnerabilidade ao desabilitar o recurso. Atualizar o Microsoft Edge WebView2 Runtime para, no mínimo, a versão 109.0.1481.0 e reiniciar o Zoom resolve essa vulnerabilidade atualizando o comportamento de telemetria da Microsoft.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Clientes Zoom for Windows anteriores à versão 5.13.3
  • Clientes Zoom Rooms for Windows anteriores à versão 5.13.3
  • Clientes Zoom VDI for Windows anteriores à versão 5.13.1

Fonte: Relatado pela equipe de segurança do Zoom

ZSB-22035 01/06/2023 Escalação de privilégio local em instaladores do Zoom Rooms for Windows Crítica CVE-2022-36930

Gravidade: Crítica

Pontuação CVSS: 8.2

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Descrição: Instaladores do Zoom Rooms for Windows anteriores a versão 5.13.0 contém uma vulnerabilidade de escalação de privilégio local. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade durante uma corrente de ataque para escalar seus privilégios até o usuário de SISTEMA.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Instaladores Zoom Rooms for Windows anteriores à versão 5.13.0

Fonte: Relatado por sim0nsecurity

ZSB-22034 01/06/2023 Escalação de privilégio local em clientes Zoom Rooms for Windows Crítica CVE-2022-36929

Gravidade: Crítica

Pontuação CVSS: 7.8

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

Descrição: Clientes Zoom Rooms for Windows anteriores a versão 5.12.7 contém uma vulnerabilidade de escalação de privilégio local. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade durante uma corrente de ataque para escalar seus privilégios até o usuário de SISTEMA.
Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download

Produtos afetados:

  • Clientes Zoom for Windows anteriores à versão 5.12.7

Fonte: Relatado por sim0nsecurity

ZSB-22033 01/06/2023 Ataque de passagem em clientes Zoom for Android Crítica CVE-2022-36928

Gravidade: Crítica

Pontuação CVSS: 6.1

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N

Descrição: Os clientes Zoom for Android anteriores à versão 5.13.0 contém uma vulnerabilidade de ataque de passagem. Um aplicativo de terceiros poderia explorar essa vulnerabilidade para ler e gravar no diretório de dados do aplicativo Zoom.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Clientes Zoom for Android anteriores à versão 5.13.0

Fonte: Comunicado por Dimitrios Valsamaras da Microsoft

ZSB-22032 01/06/2023 Escalação de privilégio local em clientes Zoom Rooms for macOS Crítica CVE-2022-36926
CVE-2022-36927

Gravidade: Crítica

Pontuação CVSS: 8.8

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Descrição: Clientes Zoom Rooms for macOS anteriores a versão 5.11.3 contém uma vulnerabilidade de escalação de privilégio local. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade para escalar seus privilégios até a raiz.
Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Clientes Zoom for macOS anteriores à versão 5.11.3

Fonte: Comunicado por Kirin (Pwnrin)

ZSB-22031 01/06/2023 Geração insegura de chave para clientes Zoom Rooms for macOS Crítica CVE-2022-36925

Gravidade: Crítica

Pontuação CVSS: 4.4

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

Descrição: Clientes Zoom Rooms for macOS anteriores à versão 5.11.4 contém um mecanismo inseguro de geração de chave. A chave de criptografia usada para IPC entre o serviço daemon do Zoom Rooms e o cliente Zoom Rooms foi gerada usando parâmetros que poderiam ser obtidos por um aplicativo local de baixo privilégio. A chave, em seguida, poderia ser usada para interagir com o serviço daemon para executar funções privilegiadas e causar uma negação de serviço local.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Zoom Rooms for macOS anteriores à versão 5.11.4

Fonte: Comunicado por Kirin (Pwnrin)

ZSB-22030 11/15/2022 Escalação de privilégio local no instalador do Zoom Rooms para Windows Crítica CVE-2022-36924

Gravidade: Crítica

Pontuação CVSS: 8.8

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Descrição: O instalador do Zoom Rooms para Windows, versões anteriores à 5.12.6, contém uma vulnerabilidade de aumento de privilégios locais. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade durante o processo de instalação para escalar seus privilégios até o usuário de SISTEMA.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Instalador do Zoom Rooms para Windows antes da versão 5.12.6

Fonte: Relatado por sim0nsecurity

ZSB-22029 11/15/2022 Escalação de privilégio local do instalador do cliente Zoom para macOS Crítica CVE-2022-28768

Gravidade: Crítica

Pontuação CVSS: 8.8

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Descrição: O instalador do Zoom Client for Meetings para macOS (padrão e para administrador de TI) antes da versão 5.12.6 contém uma vulnerabilidade na escalação do privilégio local. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade durante o processo de instalação para escalar seus privilégios até a raiz.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Instalador do Zoom Client for Meetings para macOS (padrão e para administrador de TI) antes da versão 5.12.6

Fonte: Reportado por Koh M. Nakagawa (tsunekoh)

ZSB-22027 11/15/2022 Injeção de DLL nos Zoom Windows Clients Crítica CVE-2022-28766

Gravidade: Crítica

Pontuação CVSS: 8.1

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L

Descrição: As versões de 32 bits para Windows do Zoom Client for Meetings, versões anteriores à 5.12.6, e do Zoom Rooms for Conference Rooms, versões anteriores à 5.12.6, são suscetíveis a uma vulnerabilidade de injeção de DLL. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade para executar códigos arbitrários no contexto do cliente Zoom.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download

Produtos afetados:

  • Zoom Client for Meetings para Windows (32 bits) anterior à versão 5.12.6
  • Cliente Zoom VDI Windows Meeting for Windows (32 bits), versões anteriores à 5.12.6
  • Zoom Rooms for Conference Room for Windows (32 bits), versões anteriores à 5.12.6

Fonte: Relatado por sim0nsecurity

ZSB-22025 11/10/2022 Exposição de informações locais nos clientes Zoom Crítica CVE-2022-28764

Gravidade: Crítica

Pontuação CVSS: 3.3

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Descrição: O Zoom Client for Meetings (para Android, iOS, Linux, macOS e Windows) anterior à versão 5.12.6 é suscetível a uma vulnerabilidade de exposição de informações locais.

Uma falha na limpeza dos dados do banco de dados SQL local ao final da reunião e o uso de uma chave pouco segura por dispositivo ao criptografar tal banco de dados permite a um usuário mal-intencionado local obter informações, como o chat, da reunião finalizada e acessada por meio de sua conta de usuário local.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Zoom Client for Meetings (para Android, iOS, Linux, macOS e Windows) anterior à versão 5.12.6
  • Clientes de reunião Zoom VDI Windows anteriores à versão 5.12.6
  • Zoom Rooms para Sala de Conferência (para Android, iOS, Linux, macOS e Windows) anterior à versão 5.12.6

Fonte: Reportado por Christian Zäske da SySS GmbH

ZSB-22024 10/24/2022 Análise inadequada do URL nos Zoom clients Crítica CVE-2022-28763

Gravidade: Crítica

Pontuação CVSS: 8.8

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Descrição: O Zoom Client for Meetings (para Android, iOS, Linux, macOS e Windows) anterior à versão 5.12.2 é suscetível à vulnerabilidade de análise de URL. Se um URL de reunião mal-intencionado do Zoom for aberto, o link mal-intencionado poderá direcionar o usuário para se conectar a um endereço de rede arbitrário, levando a ataques adicionais, incluindo a tomada de controle da sessão.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Zoom Client for Meetings (para Android, iOS, Linux, macOS e Windows) anterior à versão 5.12.2
  • Clientes de reunião Zoom VDI Windows anteriores à versão 5.12.2
  • Zoom Rooms para Sala de Conferência (para Android, iOS, Linux, macOS e Windows) anterior à versão 5.12.2

Fonte: Relatado pela equipe de segurança do Zoom

ZSB-22023 10/11/2022 Depurando uma configuração errada de porta no Zoom Apps, no Zoom Client for Meetings para macOS Crítica CVE-2022-28762

Gravidade: Crítica

Pontuação CVSS: 7.3

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

Descrição: Zoom Client for Meetings para macOS (Padrão e para administrador de TI), a partir da versão 5.10.6 e anterior à versão 5.12.0, contém uma depuração de configuração errada de porta. Quando o modo de câmera renderizar contexto está habilitado como parte do API de camadas do aplicativo Zoom, ao executar certos Zoom Apps, uma depuração local de porta é aberta pelo cliente Zoom. Um usuário local mal-intencionado poderia usar esta depuração de porta para se conectar ao Zoom Apps e controlá-lo executando no cliente Zoom.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Zoom Client for Meetings para macOS (Padrão e para administrador de TI) a partir da versão 5.10.6 e anterior à versão 5.12.0

Fonte: Relatado pela equipe de segurança do Zoom

ZSB-22022 10/11/2022 Implementações do Zoom no local: controle de acesso impróprio Crítica CVE-2022-28761

Gravidade: Crítica

Pontuação CVSS: 6.5

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Descrição: O MMR do conector de reunião local Zoom, versões anteriores à 4.8.20220916.131, contém uma vulnerabilidade de controle impróprio de acesso. Como resultado, um ator mal-intencionado em uma reunião ou webinar em que ele está autorizado a ingressar, pode impedir que participantes recebam áudio e vídeo, causando interferências na reunião.

Para as implantações no local do Zoom, os administradores de TI podem ajudar a manter o software Zoom atualizado ao seguir isto: https://support.zoom.us/hc/en-us/articles/360043960031

Produtos afetados:

  • MMR conector de reunião local Zoom anterior à versão 4.8.20220916.131

Fonte: Relatado pela equipe de segurança ofensiva Zoom

ZSB-22021 09/13/2022 Implementações do Zoom no local: controle de acesso impróprio Crítica CVE-2022-28760

Gravidade: Crítica

Pontuação CVSS: 6.5

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Descrição: O MMR conector de reunião local Zoom anterior à versão 4.8.20220815.130 contém uma vulnerabilidade de controle de acesso impróprio. Como resultado, um ator mal-intencionado pode ingressar em uma reunião na qual eles estão autorizados a acessar, sem aparecer para os outros participantes.

Para as implantações no local do Zoom, os administradores de TI podem ajudar a manter o software Zoom atualizado ao seguir isto: https://support.zoom.us/hc/en-us/articles/360043960031

Produtos afetados:

  • MMR conector de reunião local Zoom anterior à versão 4.8.20220815.130

Fonte: Relatado pela equipe de segurança ofensiva Zoom

ZSB-22020 09/13/2022 Implementações do Zoom no local: controle de acesso impróprio Crítica CVE-2022-28758
CVE-2022-28759

Gravidade: Crítica

Pontuação CVSS: 8.2

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Descrição: O MMR conector de reunião local Zoom anterior à versão 4.8.20220815.130 contém uma vulnerabilidade de controle de acesso impróprio. Como resultado, um ator mal-intencionado poderia obter o feed de áudio e vídeo de uma reunião à qual ele não estava autorizado a acessar e causar outras interferências na reunião.

Para as implantações no local do Zoom, os administradores de TI podem ajudar a manter o software Zoom atualizado ao seguir isto: https://support.zoom.us/hc/en-us/articles/360043960031

Produtos afetados:

  • MMR conector de reunião local Zoom anterior à versão 4.8.20220815.130

Fonte: Relatado pela equipe de segurança do Zoom

ZSB-22019 08/17/2022 Escalação de privilégio local no atualizador automático para Zoom Client for Meetings para macOS Crítica CVE-2022-28757

Gravidade: Crítica

Pontuação CVSS: 8.8

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Descrição: O Zoom Client for Meetings for macOS (padrão e para administradores de TI), versões posteriores à 5.7.3 e anteriores à 5.11.6, contém uma vulnerabilidade no processo de atualização automática. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade para escalar seus privilégios até a raiz.

Observação: Este problema permite ignorar a correção lançada na versão 5.11.5 para resolver o CVE-2022-28756.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • O Zoom Client for Meetings para macOS (padrão e para administrador de TI) a partir da versão 5.7.3 e anterior à versão 5.11.6

Fonte: Reportado por Csaba Fitzl (theevilbit) da Offensive Security

ZSB-22018 08/13/2022 Escalação de privilégio local no atualizador automático para produtos Zoom macOS [Updated 2022-09-13] Crítica CVE-2022-28756

Gravidade: Crítica

Pontuação CVSS: 8.8

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Descrição: O Zoom Client for Meetings for macOS (padrão e para administradores de TI), versões posteriores à 5.7.3 e anteriores à 5.11.5, eo Zoom Rooms for Conference Rooms for macOS, versões anteriores à 5.11.6, contêm uma vulnerabilidade no processo de atualização automática. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade para escalar seus privilégios até a raiz.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

*Alterações - 2022-09-13 - título e descrição atualizados e incluído Zoom Room na seção "Produtos Afetados".

Produtos afetados:

  • Zoom Client for Meetings para macOS (Padrão e para administrador de TI) a partir da versão 5.7.3 e anterior à versão 5.11.5
  • Zoom Rooms para sala de conferência para macOS anterior à versão 5.11.6

Fonte: Relatado por Patrick Wardle da Objective-See

ZSB-22017 08/09/2022 Escalação de privilégio local no Zoom Client for Meetings para macOS Crítica CVE-2022-28751

Gravidade: Crítica

Pontuação CVSS: 8.8

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Descrição: O Zoom Client for Meetings para MacOS (Padrão e para administrador de TI) anterior à versão 5.11.3 contém uma vulnerabilidade na validação da assinatura do pacote durante o processo de atualização. Um usuário local de baixo privilégio poderia explorar esta vulnerabilidade para escalar seus privilégios até a raiz.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Zoom Client for Meetings para MacOS (Padrão e para administrador de TI) anterior à versão 5.11.3

Fonte: Relatado por Patrick Wardle da Objective-See

ZSB-22014 08/09/2022 Implementações do Zoom no local: controle de acesso impróprio Crítica CVE-2022-28753
CVE-2022-28754

Gravidade: Crítica

Pontuação CVSS: 7.1

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N

Descrição: O MMR conector de reunião local Zoom anterior à versão 4.8.129.20220714 contém uma vulnerabilidade de controle de acesso impróprio. Como resultado, um ator mal-intencionado pode ingressar em uma reunião na qual ele está autorizado a acessar, sem aparecer para os outros participantes, pode autorizar a si mesmo entrar na reunião a partir da sala de espera, pode se tornar anfitrião e causar outras interferências na reunião.

Para as implantações no local do Zoom, os administradores de TI podem ajudar a manter o software Zoom atualizado ao seguir isto: https://support.zoom.us/hc/en-us/articles/360043960031

Produtos afetados:

  • MMR conector de reunião local Zoom anterior à versão 4.8.129.20220714

Fonte: Relatado pela equipe de segurança ofensiva Zoom

ZSB-22016 08/09/2022 Análise inadequada do URL nos Zoom clients [Updated 2022-10-24] Crítica CVE-2022-28755

Gravidade: Crítica

Pontuação CVSS: 9.6

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Descrição: O Zoom Client for Meetings (para Android, iOS, Linux, macOS, e Windows) anterior à versão 5.11.0 é suscetível a vulnerabilidade de análise de URL. Se um URL de reunião mal-intencionado do Zoom for aberto, o link mal-intencionado pode direcionar o usuário para se conectar a um endereço de rede arbitrário, levando a ataques adicionais, incluindo uma possível execução remota de código através da execução de executáveis de caminhos arbitrários.

*Alterações - 24-10-2022 - Incluído Zoom Rooms na seção "Produtos Afetados".

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Zoom Client for Meetings (para Android, iOS, Linux, macOS, e Windows) anterior à versão 5.11.0

Fonte: Relatado pela equipe de segurança ofensiva Zoom

ZSB-22012 08/09/2022 Implementações no local do Zoom: estouro de pilha de buffer no conector de reunião Crítica CVE-2022-28750

Gravidade: Crítica

Pontuação CVSS: 7.5

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Descrição: O controlador de zona (ZC) do conector de reunião local Zoom, versões anteriores à 4.8.20220419.112, não analisa corretamente códigos de erro STUN, o que pode resultar na corrupção da memória e permitir que um ator mal-intencionado faça o aplicativo parar de funcionar. Em versões anteriores à 4.8.12.20211115, esta vulnerabilidade também pode ser aproveitada para executar códigos arbitrários.

Para as implantações no local do Zoom, os administradores de TI podem ajudar a manter o software Zoom atualizado ao seguir esta orientação:
https://support.zoom.us/hc/en-us/articles/360043960031

Produtos afetados:

  • Controlador de zona (ZC) do conector de reunião local Zoom anterior à versão 4.8.20220419.112

Fonte: Relatado pela equipe de segurança ofensiva Zoom

ZSB-22011 06/14/2022 Conferência de autorização insuficiente durante acesso à reunião Crítica CVE-2022-28749

Gravidade: Crítica

Pontuação CVSS: 6.5

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Descrição: O MMR conector de reunião local Zoom, anterior à versão 4.8.113.20220526 falha em conferir adequadamente as permissões do participante de uma reunião Zoom. O resultado é que o usuário que seja uma ameaça, aguardando na sala de espera do Zoom, pode ingressar na reunião sem o consentimento do anfitrião.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Conectores de reunião local anteriores à versão 4.8.113.20220526

Fonte: Relatado pela equipe de segurança ofensiva Zoom

ZSB- 22010 06/14/2022 Injeção de DLL no instalador do Zoom Opener para Zoom client e equipamentos para Zoom Rooms Crítica CVE-2022-22788

Gravidade: Crítica

Pontuação CVSS: 7.1

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

Descrição: O instalador do Zoom Opener é baixado por um usuário na página de inicialização da reunião quando ele tenta ingressar em uma reunião sem ter o client do Zoom Meeting instalado. Os instaladores do Zoom Opener para Zoom Client for Meeting anterior à versão 5.10.3 e para Zoom Rooms para sala de conferência para Windows anterior à versão 5.10.3 estão suscetíveis a ataque de injeção de DLL. Essa vulnerabilidade poderia ser usada para executar um código arbitrário no host da vítima.

Os usuários podem se proteger removendo versões antigas do instalador do Zoom Opener e executando a versão mais recente do instalador do Zoom Opener, ao clicar no botão "Baixar agora" na página "Iniciar reunião". Os usuários também podem se proteger ao baixar o software mais recente do Zoom com todas as atualizações de segurança, de https://zoom.us/download.

Produtos afetados:

  • Zoom Client for Meetings para Windows anterior à versão 5.10.3
  • Todos os Zoom Rooms para sala de conferência para Windows anteriores à versão 5.10.3

Fonte: Reportado por James Tsz Ko Yeung

ZSB-22009 05/17/2022 Validação insuficiente do nome do host durante a troca de server no Zoom Client for Meetings Crítica CVE-2022-22787

Gravidade: Crítica

Pontuação CVSS: 5.9

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Descrição: O Zoom Client for Meetings (para Android, iOS, Linux, macOS e Windows) antes da versão 5.10.0 não consegue validar o nome do host durante uma solicitação de troca de servidor adequadamente. Esse problema pode ser usado em um ataque mais sofisticado para enganar o cliente de um usuário inocente a conectar-se a um servidor malicioso ao tentar usar os serviços Zoom.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • O Zoom Client for Meetings (para Android, iOS, Linux, macOS, e Windows) anterior à versão 5.10.0

Fonte: Relatado por Ivan Fratric do Google Project Zero

ZSB-22008 05/17/2022 Downgrade de pacote de atualização no Zoom Client for Meetings para Windows Crítica CVE-2022-22786

Gravidade: Crítica

Pontuação CVSS: 7.5

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Descrição: O Zoom Client for Meetings para Windows antes da versão 5.10.0 e o Zoom Rooms para sala de conferência para Windows antes da versão 5.10.0 falham ao verificar adequadamente a versão de instalação durante o processo de atualização. Esse problema poderia ser usado em um ataque mais sofisticado para fazer com que o usuário faça o downgrade do cliente Zoom para uma versão menos segura.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Todos os Zoom Client for Meetings para Windows em versões anteriores a 5.10.0
  • Todos os Zoom Rooms para sala de conferência para Windows anteriores à versão 5.10.0

Fonte: Relatado por Ivan Fratric do Google Project Zero

ZSB-22007 05/17/2022 Cookies de sessão indevidamente limitados no Zoom Client for Meetings Crítica CVE-2022-22785

Gravidade: Crítica

Pontuação CVSS: 5.9

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Descrição: O Zoom Client for Meetings (para Android, iOS, Linux, macOS e Windows) antes da versão 5.10.0 falha ao limitar os cookies de sessão do cliente adequadamente aos domínios da Zoom. Esse problema poderia ser usado em um ataque mais sofisticado para enviar os cookies de sessão do Zoom de um usuário para um domínio que não pertença à Zoom. Isso potencialmente permitiria que alguém imitasse um usuário do Zoom.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • O Zoom Client for Meetings (para Android, iOS, Linux, macOS, e Windows) anterior à versão 5.10.0

Fonte: Relatado por Ivan Fratric do Google Project Zero

ZSB- 22006 05/17/2022 Análise indevida de XML no Zoom Client for Meetings Crítica CVE-2022-22784

Gravidade: Crítica

Pontuação CVSS: 8.1

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Descrição: O Zoom Client for Meetings (para Android, iOS, Linux, macOS e Windows) antes da versão 5.10.0 falha ao analisar adequadamente estrofes de XML em mensagens XMPP. Isso pode permitir que um usuário malicioso saia do contexto atual de mensagens XMPP e crie um novo contexto de mensagem para que o cliente de um usuário execute uma variedade de ações. Esse problema poderia ser usado em um ataque mais sofisticado para forjar mensagens XMPP do servidor.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • O Zoom Client for Meetings (para Android, iOS, Linux, macOS, e Windows) anterior à versão 5.10.0

Fonte: Relatado por Ivan Fratric do Google Project Zero

ZSB- 22005 04/27/2022 Exposição da memória do processo nos serviços de reunião local Zoom Crítica CVE-2022-22783

Gravidade: Crítica

Pontuação CVSS: 8.3

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/CR:H

Descrição: Uma vulnerabilidade no controlador do conector de reunião local Zoom versão 4.8.102.20220310 e no MMR conector de reunião local Zoom 4.8.102.20220310 expõe fragmentos de memória de processamento aos clientes conectados, o que pode ser observado por um invasor passivo.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança.

Produtos afetados:

  • Controlador do conector de reunião local Zoom versão 4.8.102.20220310
  • MMR conector de reunião local Zoom anterior à versão 4.8.102.20220310

Fonte: Equipe de segurança ofensiva Zoom

ZSB-22004 04/27/2022 Escalação de privilégio local nos Zoom Clients do Windows Crítica CVE-2022-22782

Gravidade: Crítica

Pontuação CVSS: 7.9

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

Descrição: O Zoom Client for Meetings do Windows anterior à versão 5.9.7, o Zoom Rooms para sala de conferência do Windows anterior à versão 5.10.0, os plugins Zoom para Microsoft Outlook do Windows anterior à versão 5.10.3 e os Clientes de Reunião Zoom VDI Windows anteriores à versão 5.9.6 eram suscetíveis a um problema de escalação de privilégios durante a operação de reparo do instalador. Um ator mal-intencionado poderia usar isso para potencialmente excluir arquivos ou pastas no nível do sistema, causando problemas de integridade ou disponibilidade na máquina host do usuário.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Zoom Client for Meetings para Windows anterior à versão 5.9.7
  • Todos os Zoom Rooms para sala de conferência para Windows anteriores à versão 5.10.0
  • Todos os plugins Zoom para Microsoft Outlook do Windows anteriores à versão 5.10.3
  • Todos os Clientes de reunião Zoom VDI Windows anteriores à versão 5.9.6

Fonte: Relatado por meio da Iniciativa Dia Zero

ZSB-22003 04/27/2022 Downgrade de pacote de atualização no Zoom Client for Meetings para macOS Crítica CVE-2022-22781

Gravidade: Crítica

Pontuação CVSS: 7.5

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Descrição: O Zoom Client for Meetings para macOS (Padrão e para Administrador de TI) anterior à versão 5.9.6 falhava na verificação adequada da versão do pacote durante o processo de atualização. Isso poderia fazer com que um ator mal-intencionado atualizasse a versão atualmente instalada de um usuário inocente para uma versão menos segura.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Todos os Zoom Client for Meetings para macOS (Padrão e para Administrador de TI) anteriores à versão 5.9.6

Fonte: Relatado por Patrick Wardle da Objective-See

ZSB-22002 02/08/2022 Zoom Team Chat suscetível a bomba zip/de descompressão Crítica CVE-2022-22780

Gravidade: Crítica

Pontuação CVSS: 4.7

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L

Descrição: A funcionalidade do chat do Zoom Client for Meetings estava suscetível a ataques de bomba zip nas seguintes versões de produtos: Android em versões anteriores a 5.8.6, iOS em versões anteriores a 5.9.0, Linux em versões anteriores a 5.8.6, macOS em versões anteriores a 5.7.3, e Windows em versões anteriores a 5.6.3. Isso pode levar a problemas com disponibilidade no anfitrião do client, causando exaustão nos recursos do sistema.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Todos Zoom Client for Meetings para Android em versões anteriores a 5.8.6
  • Todos Zoom Client for Meetings para iOS em versões anteriores a 5.9.0
  • Todos Zoom Client for Meetings para Linux em versões anteriores a 5.8.6
  • Todos Zoom Client for Meetings para macOS em versões anteriores a 5.7.3
  • Todos Zoom Client for Meetings para Windows em versões anteriores a 5.6.3

Fonte: Comunicado por Johnny Yu da Walmart Global Tech

ZSB-22001 02/08/2022 Mensagens expandidas retidas no Keybase Clients para macOS e Windows Crítica CVE-2022-22779

Gravidade: Crítica

Pontuação CVSS: 3.7

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Descrição: O Keybase Clients para macOS e Windows em versões anteriores a 5.9.0 não consegue remover adequadamente mensagens expandidas iniciadas por um usuário. Isso pode ocorrer se o destinatário mudar para um recurso sem chat, e colocar o anfitrião em estado de descanso antes que o remetente expanda as mensagens. Isso pode levar a divulgação de informações confidenciais, que deveriam ser apagadas do sistema de arquivos do usuário.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente da Keybase com todas as atualizações de segurança em https://keybase.io/download.

Produtos afetados:

  • Todos Keybase Clients para macOS e Windows em versões anteriores a 5.9.0

Fonte: Reportado por Olivia O'Hara

ZSB-21022 12/14/2021 Comando de execução arbitrária no Cliente Keybase para Windows Crítica CVE-2021-34426

Gravidade: Crítica

Pontuação CVSS: 5.3

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

Descrição: Uma vulnerabilidade foi descoberta no Cliente Keybase para Windows anterior à versão 5.6.0, quando um usuário executa o comando "keybase git lfs-config" na linha de comando. Nas versões anteriores à 5.6.0, um usuário mal-intencionado com acesso de gravação a um repositório Git do usuário, poderia aproveitar essa vulnerabilidade para possivelmente executar comandos arbitrários do Windows no sistema local de um usuário.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente da Keybase com todas as atualizações de segurança em https://keybase.io/download.

Produtos afetados:

  • Todos Clientes Keybase para Windows anteriores à versão 5.6.0

Fonte: Relatado pela RyotaK

ZSB-21021 12/14/2021 Falsificação de solicitação do lado do servidor no chat do Zoom Client for Meetings Crítica CVE-2021-34425

Gravidade: Crítica

Pontuação CVSS: 4.7

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N

Descrição: O Zoom Client for Meetings anterior à versão 5.7.3 (para Android, iOS, Linux, macOS, e Windows) contém uma vulnerabilidade de falsificação de solicitação do lado do servidor na funcionalidade "link preview" do chat. Nas versões anteriores à 5.7.3, caso um usuário fosse habilitar o recurso "link preview" do chat, um usuário mal-intencionado poderia enganar o usuário para, possivelmente, enviar solicitações arbitrárias HTTP GET para URLs que o usuário não pode acessar diretamente.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Todos Zoom Client for Meetings (para Android, iOS, Linux, macOS, e Windows) anteriores à versão 5.7.3

Fonte: Comunicado por Johnny Yu da Walmart Global Tech

ZSB-21020 11/24/2021 Exposição da memória do processo no Zoom Client e outros produtos Crítica CVE-2021-34424

Gravidade: Crítica

Pontuação CVSS: 5.3

Sequência de vetor CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Descrição: Uma vulnerabilidade foi descoberta nos produtos listados na seção "Produtos Afetados" desse boletim que possivelmente permitiu a exposição do estado da memória do processo. Essa falha poderia ser usada para possivelmente ganhar insight em áreas arbitrárias da memória do produto.

O Zoom resolveu esse problema nas versões mais recentes dos produtos listados na seção abaixo. Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança.

Produtos afetados:

  • Zoom Client for Meetings (para Android, iOS, Linux, macOS, e Windows) anterior à versão 5.8.4
  • Zoom Client for Meetings para Blackberry (para Android e iOS) anterior à versão 5.8.1
  • Zoom Client for Meetings para intune (para Android e iOS) anterior à versão 5.8.4
  • Zoom Client for Meetings para Chrome OS anterior à versão 5.0.1
  • Zoom Rooms para sala de conferência (para Android, AndroidBali, macOS, e Windows) anterior à versão 5.8.3
  • Controladores para Zoom Rooms (para Android, iOS, e Windows) anterior à versão 5.8.3
  • Cliente de reunião Zoom VDI Windows anterior à versão 5.8.4
  • Zoom VDI Azure Virtual Desktop Plugins (para Windows x86 ou x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) anterior à versão 5.8.4.21112
  • Zoom VDI Citrix Plugins (para Windows x86 ou x64, Instalador e Desinstalador Universal Mac, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) anterior à versão 5.8.4.21112
  • Zoom VDI VMware Plugins (para Windows x86 ou x64, Instalador e Desinstalador Universal Mac, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) anterior à versão 5.8.4.21112
  • Zoom Meeting SDK para Android anterior à versão 5.7.6.1922
  • Zoom Meeting SDK para iOS anterior à versão 5.7.6.1082
  • Zoom Meeting SDK para Windows anterior à versão 5.7.6.1081
  • Zoom Meeting SDK para Mac anterior à versão 5.7.6.1340
  • Zoom Video SDK (para Android, iOS, macOS, e Windows) anterior à versão 1.1.2
  • Conector de reunião local Zoom anterior à versão 4.8.12.20211115
  • MMR conector de reunião local Zoom anterior à versão 4.8.12.20211115
  • Conector de gravação local Zoom anterior à versão 5.1.0.65.20211116
  • Conector de sala virtual local Zoom anterior à versão 4.4.7266.20211117
  • Balanceador de carga de sala virtual local Zoom anterior à versão 2.5.5692.20211117
  • Zoom Hybrid Zproxy anterior à versão 1.0.1058.20211116
  • Zoom Hybrid MMR anterior à versão 4.6.20211116.131_x86-64

Fonte: Comunicado por Natalie Silvanovich do Google Project Zero

ZSB-21019 11/24/2021 Buffer Overflow no Zoom Client e outros produtos Crítica CVE-2021-34423

Gravidade: Crítica

Pontuação CVSS: 7.3

Sequência de vetor CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Descrição: Uma vulnerabilidade de buffer overflow foi descoberta nos produtos listados na seção "Produtos Afetados" desse boletim. Isso pode possivelmente permitir que um usuário mal-intencionado trave o serviço ou aplicativo ou aproveite essa vulnerabilidade para executar um código arbitrário.

O Zoom resolveu esse problema nas versões mais recentes dos produtos listados na seção abaixo. Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança.

Produtos afetados:

  • Zoom Client for Meetings (para Android, iOS, Linux, macOS, e Windows) anterior à versão 5.8.4
  • Zoom Client for Meetings para Blackberry (para Android e iOS) anterior à versão 5.8.1
  • Zoom Client for Meetings para intune (para Android e iOS) anterior à versão 5.8.4
  • Zoom Client for Meetings para Chrome OS anterior à versão 5.0.1
  • Zoom Rooms para sala de conferência (para Android, AndroidBali, macOS, e Windows) anterior à versão 5.8.3
  • Controladores para Zoom Rooms (para Android, iOS, e Windows) anterior à versão 5.8.3
  • Cliente de reunião Zoom VDI Windows anterior à versão 5.8.4
  • Zoom VDI Azure Virtual Desktop Plugins (para Windows x86 ou x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) anterior à versão 5.8.4.21112
  • Zoom VDI Citrix Plugins (para Windows x86 ou x64, Instalador e Desinstalador Universal Mac, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) anterior à versão 5.8.4.21112
  • Zoom VDI VMware Plugins (para Windows x86 ou x64, Instalador e Desinstalador Universal Mac, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) anterior à versão 5.8.4.21112
  • Zoom Meeting SDK para Android anterior à versão 5.7.6.1922
  • Zoom Meeting SDK para iOS anterior à versão 5.7.6.1082
  • Zoom Meeting SDK para macOS anterior à versão 5.7.6.1340
  • Zoom Meeting SDK para Windows anterior à versão 5.7.6.1081
  • Zoom Video SDK (para Android, iOS, macOS, e Windows) anterior à versão 1.1.2
  • Controlador do conector de reunião local Zoom anterior à versão 4.8.12.20211115
  • MMR conector de reunião local Zoom anterior à versão 4.8.12.20211115
  • Conector de gravação local Zoom anterior à versão 5.1.0.65.20211116
  • Conector de sala virtual local Zoom anterior à versão 4.4.7266.20211117
  • Balanceador de carga de sala virtual local Zoom anterior à versão 2.5.5692.20211117
  • Zoom Hybrid Zproxy anterior à versão 1.0.1058.20211116
  • Zoom Hybrid MMR anterior à versão 4.6.20211116.131_x86-64

Fonte: Fonte: Comunicado por Natalie Silvanovich do Google Project Zero

ZSB-21018 11/09/2021 Ataque de Passagem [Path Traversal] de nomes de arquivos no Cliente Keybase para Windows Crítica CVE-2021-34422

Gravidade: Crítica

Pontuação CVSS: 7.2

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

Descrição: Os Clientes Keybase para Windows anteriores à versão 5.7.0 contêm uma vulnerabilidade de path traversal [ataque de passagem] ao verificar o nome de um arquivo carregado para uma pasta de equipe. Um usuário mal-intencionado poderia carregar um arquivo para uma pasta compartilhada com um nome de arquivo especialmente elaborado que poderia permitir a um usuário executar um aplicativo que não estava previsto na máquina host. Se um usuário mal-intencionado aproveitasse essa falha com o recurso de compartilhamento da pasta pública do Cliente Keybase, isso poderia levar a execução de código remota.

A Keybase resolveu essa falha na versão 5.7.0 do Cliente Keybase para Windows. Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente da Keybase com todas as atualizações de segurança em https://keybase.io/download.

Produtos afetados:

  • Cliente Keybase para Windows anterior à versão 5.7.0

Fonte: Comunicado por m4t35z

ZSB-21017 11/09/2021 Mensagens expandidas retidas nos Clientes Keybase para Android e iOS Crítica CVE-2021-34421

Gravidade: Crítica

Pontuação CVSS: 3.7

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Descrição: O Cliente Keybase para Android anterior à versão 5.8.0 e o Cliente Keybase para iOS anterior à versão 5.8.0 não conseguem remover adequadamente as mensagens expandidas iniciadas por um usuário, se o usuário destinatário posiciona a sessão de chat no plano de fundo enquanto o remetente expande as mensagens. Isso poderia levar a divulgação de informações confidenciais que deveriam ser apagadas do dispositivo do cliente.

A Keybase resolveu essa falha nas versões 5.8.0 do Cliente Keybase para Android e 5.8.0 do Cliente Keybase para iOS. Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente da Keybase com todas as atualizações de segurança em https://keybase.io/download.

Produtos afetados:

  • Todos Clientes Keybase para Android anteriores à versão 5.8.0
  • Todos Clientes Keybase para iOS anteriores à versão 5.8.0

Fonte: Comunicado por Olivia O'Hara, John Jackson, Jackson Henry e Robert Willis

ZSB-21016 11/09/2021 Bypass da assinatura executável da instalação do Zoom Windows Crítica CVE-2021-34420

Gravidade: Crítica

Pontuação CVSS: 4.7

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N

Descrição: O instalador do Zoom Client for Meetings para Windows anterior à versão 5.5.4 não verifica adequadamente a assinatura dos arquivos com extensões .msi, .ps1 e .bat. Isso poderia permitir que um usuário mal-intencionado instalasse um software mal-intencionado no computador do cliente.

O Zoom resolveu esse problema na versão 5.5.4 do Zoom Client for Meetings para Windows. Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Todos Zoom Client for Meetings para Windows anteriores à versão 5.5.4

Fonte: Comunicado por Laurent Delosieres da ManoMano

ZSB-21015 11/09/2021 Injeção HTML no Zoom Linux Client Crítica CVE-2021-34419

Gravidade: Crítica

Pontuação CVSS: 3.7

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

Descrição: No Zoom Client for Meetings para Ubuntu Linux nas versões anteriores à 5.1.0, há uma falha da injeção de HTML ao enviar uma solicitação de controle remoto para um usuário no processo de compartilhamento de tela, durante uma reunião. Isso poderia permitir que os participantes da reunião fossem alvos de ataques de engenharia social.

O Zoom resolveu esse problema na versão 5.1.0 do Zoom Client for Meetings para Ubuntu Linux. Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download

Produtos afetados:

  • Zoom Client for Meetings para Ubuntu Linux anterior à versão 5.1.0

Fonte: Comunicado por Danny de Weille e Rick Verdoes da hackdefense

ZSB-21014 11/09/2021 Travamento Pre-auth Null no web console local Crítica CVE-2021-34418

Gravidade: Crítica

Pontuação CVSS: 4.0

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Descrição: O serviço de login do web console para os produtos listados na seção "Produtos Afetados" deste boletim, falha ao validar que um bit NULL foi enviado ao fazer a autenticação. Isso poderia levar ao travamento do serviço de login.

Produtos afetados:

  • Controlador do conector de reunião local Zoom anterior à versão 4.6.239.20200613
  • MMR Conector de reunião local Zoom anterior à versão 4.6.239.20200613
  • Conector de gravação local Zoom anterior à versão 3.8.42.20200905
  • Conector de sala virtual local Zoom anterior à versão 4.4.6344.20200612
  • Balanceador de carga do conector de sala virtual local Zoom anterior à versão 2.5.5492.20200616

Fonte: Comunicado por Jeremy Brown

ZSB-21013 11/09/2021 Execução de comando remoto autenticado com privilégios de raiz por meio do web console no MMR Crítica CVE-2021-34417

Gravidade: Crítica

Pontuação CVSS: 7.9

Sequência de vetor CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N

Descrição: A página proxy da rede no web portal para os produtos listados na seção "Produtos Afetados" deste boletim, falha ao validar envio de entrada em solicitações para definir a senha da rede proxy. Isso poderia levar a uma injeção de comando remota por um administrador do web portal.

Produtos afetados:

  • Controlador de conector de reunião local Zoom, anterior à versão 4.6.365.20210703
  • MMR conector de reunião local Zoom anterior à versão 4.6.365.20210703
  • Conector de gravação local Zoom anterior à versão 3.8.45.20210703
  • Conector de sala virtual local Zoom anterior à versão 4.4.6868.20210703
  • Balanceador de carga de sala virtual local Zoom anterior à versão 2.5.5496.20210703

Fonte: Comunicado por Jeremy Brown

ZSB-21012 09/30/2021 Execução de código remoto contra imagens locais por meio do web portal Crítica CVE-2021-34416

Gravidade: Crítica

Pontuação CVSS: 5.5

Sequência de vetor CVSS: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N

Descrição: As configurações administrativas do endereço de rede do web portal para o Conector de reunião local Zoom anterior à versão 4.6.360.20210325, MMR Conector de reunião local Zoom anterior à versão 4.6.360.20210325, Conector de gravação local Zoom anterior à versão 3.8.44.20210326, Conector de sala virtual local Zoom anterior à versão 4.4.6752.20210326, e o Balanceador de carga do conector de sala virtual local Zoom anterior à versão 2.5.5495.20210326 falham ao validar entrada em solicitações para atualizar a configuração da rede, o que poderia levar a uma injeção de comando remoto na imagem local pelos administradores do web portal.

Produtos afetados:

  • Conector de reunião local Zoom, anterior à versão 4.6.360.20210325
  • MMR conector de reunião local Zoom anterior à versão 4.6.360.20210325
  • Conector de gravação local Zoom anterior à versão 3.8.44.20210326
  • Conector de sala virtual local Zoom anterior à versão 4.4.6752.20210326
  • Balanceador de carga de sala virtual local Zoom anterior à versão 2.5.5495.20210326

Fonte: Comunicado por Egor Dimitrenko da Positive Technologies

ZSB-21011 09/30/2021 ZC trava ao usar um PDU o que causa muitas alocações Crítica CVE-2021-34415

Gravidade: Crítica

Pontuação CVSS: 7.5

Sequência de vetor CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Descrição: O serviço Zone Controller no Controlador do conector de reunião local Zoom, anterior à versão 4.6.358.20210205 não verifica o campo cnt enviado em pacotes de rede recebidos, o que poderia levar ao esgotamento de recursos e travar o sistema.

Produtos afetados:

  • Controlador de conector de reunião local Zoom, anterior à versão 4.6.358.20210205

Fonte: Comunicado por Nikita Abramov da Positive Technologies

ZSB-21010 09/30/2021 Execução de código remoto contra o servidor do Conector de reunião por meio da configuração de proxy da rede do web portal Crítica CVE-2021-34414

Gravidade: Crítica

Pontuação CVSS: 7.2

Sequência de vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Descrição: A página de proxy da rede no web portal para o Controlador de conector de reunião local Zoom, anterior à versão 4.6.348.20201217, MMR conector de reunião local Zoom anterior à versão 4.6.348.20201217, Conector de gravação local Zoom anterior à versão 3.8.42.20200905, Conector de sala virtual local Zoom anterior à versão 4.4.6620.20201110 e Balanceador de carga do conector de sala virtual local Zoom anterior à versão 2.5.5495.20210326, falha ao validar entrada enviada em solicitações para atualizar a configuração de proxy da rede, o que poderia levar a uma injeção de comando remoto na imagem local por um administrador do web portal.

Produtos afetados:

  • Controlador do conector de reunião local Zoom anterior à versão 4.6.348.20201217
  • MMR conector de reunião local Zoom anterior à versão 4.6.348.20201217
  • Conector de gravação local Zoom anterior à versão 3.8.42.20200905
  • Conector de sala virtual local Zoom anterior à versão 4.4.6620.20201110
  • Balanceador de carga de sala virtual local Zoom anterior à versão 2.5.5495.20210326

Fonte: Comunicado por Egor Dimitrenko da Positive Technologies

ZSB-21009 09/30/2021 Escalação de privilégio local do plugin do Zoom macOS Outlook Crítica CVE-2021-34413

Gravidade: Crítica

Pontuação CVSS: 2.8

Sequência de vetor CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N

Descrição: Todas as versões do Zoom Plugin for Microsoft Outlook para macOS anteriores à versão 5.3.52553.0918 contêm uma vulnerabilidade Time-of-check Time-of-use [Tempo de Verificação até o Tempo de Uso] (TOC/TOU) durante o processo de instalação do plugin. Isso poderia permitir que qualquer usuário gravasse seu aplicativo mal-intencionado no diretório do plugin, permitindo que o aplicativo mal-intencionado fosse executado em um contexto privilegiado.

Produtos afetados:

  • Todas as versões do Zoom Plugin for Microsoft Outlook para macOS anteriores à versão 5.3.52553.0918

Fonte: Comunicado pela Lockheed Martin Red Team

ZSB-21008 09/30/2021 Escalação de privilégio local no instalador do Zoom para Windows Crítica CVE-2021-34412

Gravidade: Crítica

Pontuação CVSS: 4.4

Sequência de vetor CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Descrição: Durante o processo de instalação de todas versões do Zoom Client for Meetings para Windows anteriores à versão 5.4.0, é possível executar o Internet Explorer. Se o instalador for executado com privilégios elevados, como SCCM, isso pode resultar em uma escalação de privilégio local.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Zoom Client for Meetings para Windows anterior à versão 5.4.0

Fonte: Comunicado pela Lockheed Martin Red Team

ZSB-21007 09/30/2021 Escalação de privilégio local no instalador do Zoom Rooms Crítica CVE-2021-34411

Gravidade: Crítica

Pontuação CVSS: 4.4

Sequência de vetor CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Descrição: Durante o processo de instalação do Zoom Rooms para sala de conferência para Windows, anterior à versão 5.3.0 é possível executar o Internet Explores com privilégios elevados. Se o instalador for executado com privilégios elevados, como SCCM, isso pode resultar em uma escalação de privilégio local.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Zoom Rooms para sala de conferência para Windows anterior à versão 5.3.0
  • Zoom Rooms para conferência anterior à versão 5.1.0

Fonte: Comunicado pela Lockheed Martin Red Team

ZSB-21004 09/30/2021 Instalador do Zoom MSI com privilégio de gravação elevado usando uma junção Crítica CVE-2021-34408

Gravidade: Crítica

Pontuação CVSS: 7.0

Sequência de vetor CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Descrição: Um diretório do usuário com privilégios de gravação criado durante a instalação do Zoom Client for Meetings para Windows, anterior à versão 5.3.2 pode ser redirecionado para outro local usando uma junção. Isso permitiria que um invasor sobrescrevesse arquivos que um usuário limitado, de outra maneira, não conseguiria modificar.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Zoom Client for Meetings para Windows anterior à versão 5.3.2

Fonte: Comunicado pela Lockheed Martin Red Team

ZSB-21003 09/30/2021 Bypass da assinatura executável do instalador do Windows Zoom Crítica CVE-2021-33907

Gravidade: Crítica

Pontuação CVSS: 7.0

Sequência de vetor CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H/MPR:N/MUI:R/MS:U/MC:H/MI:H/MA:H

Descrição: O Zoom Client for Meetings para Windows em todas as versões anteriores à 5.3.0 não consegue validar adequadamente as informações do certificado usado para assinar arquivos .msi ao executar uma atualização do cliente. Isso poderia levar a uma injeção de comando remota em um contexto de privilégio elevado.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Todas as versões do Zoom Client for Meetings para Windows anteriores à versão 5.3.0

Fonte: Comunicado pela Lockheed Martin Red Team

ZSB-21002 08/13/2021 Heap overflow de um buffer estático de gravação não checada de mensagem XMPP Crítica CVE-2021-30480

Gravidade: Crítica

Pontuação CVSS: 8.1

Sequência de vetor CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H

Descrição: Um heap overflow existe em todas as versões Desktop do Zoom Client for Meetings anteriores à versão 5.6.3. Esta descoberta foi comunicada à Zoom como parte do Pwn20wn Vancouver 2021. A corrente de ataque demonstrada durante o Pwn20wn foi mitigada em uma alteração lateral do servidor na infraestrutura do Zoom em 09-04-2021.

Quando combinado com dois outros problemas relatados durante o Pwn20wn, a validação inadequada do URL ao enviar uma mensagem XMPP para acessar um URL de aplicativo do Zoom Marketplace e a validação incorreta do URL ao exibir uma imagem GIPHY, um usuário mal-intencionado pode conseguir a execução de um código remoto em um computador alvo.
O alvo tem que ter aceito anteriormente uma Solicitação de Conexão do usuário mal-intencionado ou estar em um chat de multiusuários com o usuário mal-intencionado para que o ataque sema bem-sucedido. A corrente de ataque demonstrada no Pwn20wn pode ser bastante visível para os alvos, fazendo com que diversas notificações do cliente ocorram.

Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Todas as versões desktop do Zoom Client for Meetings anteriores à 5.6.3.

Fonte: Relatado por Daan Keuper e Thijs Alkemade da Computest por meio da Iniciativa Dia Zero.

ZSB-21001 03/26/2021 Funcionalidade de Compartilhamento de Tela da Janela do Aplicativo Crítica CVE-2021-28133

Gravidade: Crítica

Pontuação CVSS: 5.7

Sequência de vetor CVSS: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

Descrição: Uma vulnerabilidade afetou a funcionalidade de tela dos clientes Zoom Windows e Linux ao compartilhar janelas de aplicativo individuais, nas quais o conteúdo de tela dos aplicativos que não são compartilhados explicitamente pelos usuários de compartilhamento de tela, se o "compartilhador" estiver minimizando, maximizando ou fechando outra janela.

O Zoom apresentou diversas novas mitigações de segurança na versão 5.6 do Cliente Zoom Windows que reduzem a possibilidade desse problema ocorrer com usuários do Windows. Continuamos trabalhando em outras medidas para resolver este problema em todas as plataformas afetadas.

Em de 1º de março de 2021, o Zoom também resolveu o problema para os usuários do Ubuntu, na versão 5.5.4 do Zoom Linux Client. Os usuários podem aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Todas as versões do Cliente Windows Zoom
  • As versões do Cliente Linux Zoom anteriores à 5.5.4 no Unbuntu
  • Todas as versões do Cliente Linux em outras distribuições compatíveis

Fonte: Descoberto por Michael Stramez e Matthias Deeg.

ZSB-20002 08/14/2020 Windows DLL no Serviço de Compartilhamento do Zoom Crítica CVE-2020-9767

Gravidade: Crítica

Pontuação CVSS: 7.8

Sequência de vetor CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Descrição: Uma vulnerabilidade relacionada à Dynamic-link Library ("DLL") carregada no Serviço de Compartilhamento do Zoom poderia permitir um usuário local do Windows a escalar privilégios para aqueles usuários do NT AUTHORITY/SYSTEM.

A vulnerabilidade acontece em razão de verificações de assinatura insuficientes de DLLs carregadas dinamicamente ao carregar um executável assinado. Um invasor poderia explorar essa vulnerabilidade ao injetar uma DLL maliciosa em um executável do Zoom assinado e usá-la para executar processos com permissões elevadas.

O Zoom resolveu esse problema na versão de cliente 5.0.4. Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Instalador do Zoom Windows (ZoomInstallerFull.msi) versões anteriores à 5.0.4

Fonte: Connor Scott da Context Information Security

ZSB-20001 05/04/2020 Instalador Zoom IT para Windows Crítica CVE-2020-11443

Gravidade: Crítica

Pontuação CVSS: Base: 8.4

Sequência de vetor CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Descrição: Uma vulnerabilidade em como o instalador do Zoom Windows trata junções ao excluir arquivos poderia permitir um usuário local do Windows para excluir arquivos, que de outra forma, não poderia ser excluídos pelo usuário.

A vulnerabilidade é em razão de uma verificação insuficiente de junções no diretório no qual o instalador exclui arquivos, que é gravável por usuários padrão. Um usuário local mal-intencionado poderia explorar essa vulnerabilidade ao criar uma junção no diretório afetado que aponta para arquivos de sistema protegidos ou para outros arquivos para os quais o usuário não tem permissões. Após executar o instalador do Zoom para Windows com permissões elevadas, como é o caso quando ele é executado por meio de um software de implantação gerenciada, estes arquivos seriam excluídos do sistema.

O Zoom resolveu esse problema na versão 4.6.10 do cliente. Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • O instalador do Zoom para Windows (ZoomInstallerFull.msi) versões anteriores à 4.6.10

Fonte: Obrigado a Equipe Vermelha da Lockheed Martin.

ZSB-19003 07/12/2019 ZoomOpener daemon Crítica CVE-2019-13567

Gravidade: Crítica

Pontuação CVSS: Base: 7.5

Sequência de vetor CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Descrição: Uma vulnerabilidade no cliente Zoom para macOS poderia permitir que um invasor baixasse um software mal-intencionado para o dispositivo da vítima.

A vulnerabilidade ocorre em razão de uma validação de entrada e validação de software baixado inadequada no aplicativo de ajuda do ZoomOpener Um invasor poderia explorar a vulnerabilidade para solicitar que o dispositivo da vítima baixasse arquivos em nome do invasor. Uma invasão bem-sucedida só será possível se a vítima tiver desinstalado anteriormente o Cliente Zoom.

O Zoom resolveu esse problema na versão 4.4.52595.0425 do cliente. Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • O cliente Zoom para macOS anterior à versão 4.4.52595.0425 e posterior à versão 4.1.27507.0627

Fonte: Desconhecido.

ZSB-19002 07/09/2019 Configuração Padrão de Vídeo Crítica CVE-2019-13450

Gravidade: Crítica

Pontuação CVSS: Base: 3.1

Sequência de vetor CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

Descrição: Uma vulnerabilidade nos clientes Zoom e RingCentral para macOS poderia permitir que um invasor remoto e não autenticado a forçar um usuário a ingressar em uma chamada de vídeo com a câmera de vídeo ativa.

A vulnerabilidade acontece em função de controles de autorização insuficientes para verificar quais sistemas podem se comunicar com o servidor local Zoom Web sendo executado na porta 19421. Um invasor poderia explorar essa vulnerabilidade ao criar um site da web mal-intencionado que levaria o cliente Zoom a ingressar automaticamente em uma reunião organizada pelo invasor.

O Zoom implementou uma nova caixa de diálogo de Previsualização de Vídeo que é apresentada ao usuário antes dele entrar em uma reunião na versão 4.4.5 do Cliente, publicada em 14 de julho de 2019. Essa caixa de diálogo permite que o usuário ingresse na reunião com ou sem o vídeo habilitado e exige que o usuário defina o comportamento padrão para o vídeo. O Zoom sugere fortemente que os clientes instalem a versão mais recente do Cliente Zoom, disponível em https://zoom.us/download.

Produtos afetados:

  • Cliente Zoom para macOS anterior à versão 4.4.5
  • Cliente RingCentral para macOS anterior à versão 4.4.5

Fonte: Descoberta por Jonathan Leitschuh.

ZSB-19001 07/09/2019 Ataque de negação de serviço - macOS Crítica CVE-2019-13449

Gravidade: Crítica

Pontuação CVSS: Base: 3.1

Sequência de vetor CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Descrição: Uma vulnerabilidade nos clientes Zoom para macOS poderia permitir que um invasor remoto e não autenticado a disparar uma condição de negação de serviço no sistema de uma vítima.

A vulnerabilidade acontece em função de controles de autorização insuficientes para verificar quais sistemas podem se comunicar com o servidor local Zoom Web sendo executado na porta 19421. Um invasor poderia explorar essa vulnerabilidade ao criar um site da web mal-intencionado que levaria o cliente Zoom a tentar ingressar repetidamente em uma reunião com uma ID de reunião inválida. O loop infinito levaria o cliente Zoom a se tornar inoperante e pode impactar o desempenho do sistema no qual está sendo executado.

O Zoom lançou a versão 4.4.2-hotfix do cliente para macOS, em 28 de abril de 2019 para resolver o problema. Os usuários podem ajudar a se manter protegidos ao aplicar as atualizações atuais ou baixar o software mais recente do Zoom com todas as atualizações de segurança em https://zoom.us/download.

Produtos afetados:

  • Cliente Zoom para macOS anterior à versão 4.4.5
  • Cliente RingCentral para macOS anterior à versão 4.4.5

Fonte: Descoberta por Jonathan Leitschuh.

No results found

Forneça o seu endereço de e-mail para receber notificações sobre os futuros Boletins de segurança do Zoom. (Observação: alias de e-mail não receberão estas notificações.)