聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
视频通信巨头Zoom 发布多个安全补丁,修复可导致Windows 和 macOS 用户遭受恶意攻击的多个漏洞。
这些漏洞位于面向企业的Zoom Rooms 产品中,可用于Windows 和 macOS 平台上的提权攻击中。该公司在2023年发布的首批补丁中包括为三个“高危漏洞”发布的补丁,它们位于Zoom Rooms for Windows Installers、Zoom Rooms for Windows Clients 以及Zoom Rooms for macOS Clienets。
CVE-2022-36930是位于Zoom Rooms for Windows Installers 安装程序中的本地提权漏洞(CVSS评分8.2),影响早于5.13.0的版本,本地低权限用户可利用该漏洞将权限提升至系统用户权限。
CVE-2022-36929是位于Zoom Rooms for Windows Clients 中的本地提权漏洞(CVSS评分7.8),影响早于5.12.7的版本,本地低权限用户可利用该漏洞将权限提升至系统用户权限。
CVE-2022-36928是位于Zoom Rooms for macOS Clients 中的一个本地提权漏洞,影响早于5.11.3的版本,本地低权限用户可利用该漏洞将权限提升至root。
Zoom 公司还修复了位于Zoom Rooms for macOS客户端 5.11.4之前版本中的两个中危漏洞,这些版本中包含一个不安全的密钥生成机制。Zoom 公司指出,“Zoom Rooms 守护进程服务和Zoom Rooms客户端之间IPC使用的加密密钥是通过可由本地低权限应用程序获取的参数生成的。之后该密钥可用于和该守护进程服务交互,执行权限函数并引发本地拒绝服务。”
Zoom 还修复了Zoom for Android Clients 中的一个路径遍历漏洞,并提醒称第三方app可利用该漏洞读取并写入Zoom应用程序的数据目录中。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
Zoom 5.1.2及旧版本在 Win7 上的 DLL 劫持漏洞分析
网红视频会议应用 Zoom 被指“像吸血鬼一样靠收割个人数据敛财”
原文链接
https://www.securityweek.com/zoom-patches-high-risk-flaws-windows-macos-platforms
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
3699
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
