В декстопных Zoom Rooms закрыли уязвимости локального повышения привилегий

В декстопных Zoom Rooms закрыли уязвимости локального повышения привилегий

Компания Zoom Video Communications выпустила первый в этом году набор обновлений безопасности для своих программных продуктов. В клиентском софте для конференц-залов устранено пять уязвимостей; четыре из них позволяют локально повысить привилегии в Windows или macOS и оценены как очень опасные.

Всем проблемам Zoom Rooms уже присвоены CVE-идентификаторы. Обновления с патчами доступны с 6 января.

Закрытые уязвимости высокой степени опасности:

  • CVE-2022-36930 в инсталляторах Zoom Rooms для Windows позволяет локальному пользователю повысить привилегии до уровня SYSTEM (8,2 балла CVSS); уязвимости подвержены все версии ниже 5.13.0;
  • CVE-2022-36929 в клиентах Zoom Rooms для Windows позволяет повысить привилегии до SYSTEM (7,8 балла); уязвимы все сборки ниже 5.12.7;
  • CVE-2022-36926 и -36927 в клиентах Zoom Rooms для macOS грозят повышением привилегий до root (по 8,8 балла); уязвимы все сборки ниже 5.11.3.

В macOS-клиентах Zoom Rooms также выявлена уязвимость средней степени опасности, возникшая из-за небезопасного способа генерации криптоключей для взаимодействия с демон-процессом. Эксплойт, согласно описанию, позволяет локально вызвать состояние отказа в обслуживании (DoS).

Новый патч получил и Zoom для Android: в клиентах сборок ниже 5.13.0 нашли возможность выхода за пределы рабочей директории (path traversal, CVE-2022-36928). Уязвимость позволяет стороннему софту получить доступ на чтение и запись к каталогу данных приложения и признана умеренно опасной.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Москвич уберег пенсионерку от перевода 1,2 млн руб. мошенникам

84-летняя жительница Москвы почти перевела на счет мошенников 1,2 млн рублей, но пенсионерку остановил “сосед” по очереди к банкомату. Молодой человек уговорил женщину не верить звонившим и вызвал полицию.

“Сотрудники правоохранительных органов” позвонили пенсионерке в мессенджер WhatsApp 20 марта. Про историю пишет Baza. Мошенники заявили, что деньги с её счёта в Сбербанке пытаются украсть и выдали инструкцию, как их уберечь. Пожилая москвичка должна была снять все средства и положить наличные на “безопасный” счет.

Аферисты “вели” жертву по телефону всю дорогу до банкомата. Женщину от ошибки спас молодой человек, который пропустил её в очереди к терминалу и заметил на экране телефона сообщения от “Центробанка РФ”.

Мужчина начал объяснять пенсионерке, что она имеет дело с мошенниками. Женщина не могла поверить, а собеседник в трубке требовал, чтобы молодой человек оставил её в покое.

Тот же не отказался от попыток, позвонил в полицию и даже поехал с женщиной в отделение.

Только там пенсионерку удалось убедить в том, что она почти что стала жертвой финансовых мошенников. При этом писать заявление на мошенников она отказалась.

Добавим, в последних трендах у аферистов — поиск дропов (людей, на чьи счета мошенники переводят ворованные деньги) среди бывших жертв собственных же схем. Чаще всего, целью преступников становятся люди старшего поколения, которые до этого уже пострадали от аферистов. Незнание дропа о том, что он стал инструментом обналичивания денег, не освобождает его от уголовной ответственности.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru