В Zoom нашли две уязвимости, получивших 7,3 балла по шкале CVSS
Главная » Новости

В Zoom нашли две уязвимости, получивших 7,3 балла по шкале CVSS

Екатерина Быстрова 30 Ноября 2021 - 10:20
...
В Zoom нашли две уязвимости, получивших 7,3 балла по шкале CVSS

Исследователи из Google Project Zero сообщили об очередных проблемах в безопасности, выявленных в Zoom, популярном софте для видеоконференций. Эксперты отметили, что уязвимости создают вектор атаки на пользователей этого сервиса.

Всего специалисты нашли две бреши, затрагивающие клиент Zoom для операционных систем Windows, macOS, Linux, iOS и Android. Первому багу присвоили идентификатор CVE-2021-34423 и 7,3 балла по шкале CVSS (переполнение буфера).

«Обнаруженная возможность переполнения буфера позволяет условному атакующему вызвать сбой в работе приложения или службы. В определённых сценариях эксплуатации злоумышленник сможет выполнить произвольный код», — гласит официальное сообщение представителей Zoom.

Другая уязвимость под идентификатором CVE-2021-34424 получила те же 7,3 балла. Здесь проблема уже заключается в повреждении памяти. Разработчики Zoom описывают её следующим образом:

«Предположительно, данная брешь открывает доступ к памяти и позволяет извлечь конфиденциальную информацию».

Список затронутых версий клиента Zoom приводим ниже:

  • Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) версии до 5.8.4
  • Zoom Client for Meetings для Blackberry (для Android и iOS) версии до 5.8.1
  • Zoom Client for Meetings для intune (для Android и iOS) версии до 5.8.4
  • Zoom Client for Meetings для Chrome OS версии до 5.0.1
  • Zoom Rooms for Conference Room (для Android, AndroidBali, macOS и Windows) версии до 5.8.3
  • Controllers for Zoom Rooms (для Android, iOS и Windows) версии до 5.8.3
  • Zoom VDI версии до 5.8.4
  • Zoom Meeting SDK для Android версии до 5.7.6.1922
  • Zoom Meeting SDK для iOS версии до 5.7.6.1082
  • Zoom Meeting SDK для macOS версии до 5.7.6.1340
  • Zoom Meeting SDK для Windows версии до 5.7.6.1081
  • Zoom Video SDK (для Android, iOS, macOS и Windows) версии до 1.1.2
  • Zoom On-Premise Meeting Connector Controller версии до 4.8.12.20211115
  • Zoom On-Premise Meeting Connector MMR версии до 4.8.12.20211115
  • Zoom On-Premise Recording Connector версии до 5.1.0.65.20211116
  • Zoom On-Premise Virtual Room Connector версии до 4.4.7266.20211117
  • Zoom On-Premise Virtual Room Connector Load Balancer версии до 2.5.5692.20211117
  • Zoom Hybrid Zproxy версии до 1.0.1058.20211116
  • Zoom Hybrid MMR версии до 4.6.20211116.131_x86-64
Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Юзеров призывают как можно скорее закрыть уязвимости в Windows BitLocker
Татьяна Никитина 10 Сентября 2025 - 16:04
Windows ЭксплойтыУязвимости программ Домашние пользователиКорпорации Microsoft
Юзеров призывают как можно скорее закрыть уязвимости в Windows BitLocker

Сентябрьские обновления для Windows в числе прочего устраняют в BitLocker две уязвимости, позволяющие локально повысить привилегии до SYSTEM. Пользователям рекомендуется применить патчи незамедлительно.

Обе проблемы классифицируются как use-after-free. Степень опасности в Microsoft в обоих случаях сочли существенной, но не критической, так как вероятность эксплойта невысока.

Уязвимость CVE-2025-54911 в Windows-механизме защиты данных на дисках проявляется при обработке некоторых объектов в памяти. Заставить BitLocker обратиться к освобожденной области можно через специально сформированный ввод.

Возникшее в результате нарушение целостности памяти позволит выполнить вредоносный код с более высокими привилегиями. Уровень угрозы оценен в 7,3 балла по шкале CVSS.

Эксплойт CVE-2025-54912 проще, он даже не потребует взаимодействия с системой по подсказке в UI. Степень опасности уязвимости оценена в 7,8 балла CVSS.

Соответствующие исправления включены в состав накопительных обновлений для поддерживаемых версий Windows, вышедших в рамках сентябрьского «вторника патчей». В качестве временной меры защиты можно ограничить локальный доступ к BitLocker или отключить его до установки патча (не рекомендуется по соображениям безопасности).

Предотвратить эксплойт также поможет мониторинг логов на предмет аномалий в работе службы, а также проверка прав пользовательских аккаунтов. Там, где предъявляются повышенные требования к безопасности, стоит укрепить защиту конечных точек с помощью спецсредств.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Исследователь нашел проблемы в безопасности роутеров с вечным VPN
Новость
Исследователь нашел проблемы в безопасности роутеров с вечны...
Число атакующих Россию кибергрупп выросло в 2,5 раза за год
Новость
Число атакующих Россию кибергрупп выросло в 2,5 раза за год
Бывший топ WhatsApp* обвинил Meta** в сокрытии проблем с безопасностью
Новость
Бывший топ WhatsApp* обвинил Meta** в сокрытии проблем с без...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.