Plusieurs développeurs de Zoom ont signalé des vulnérabilités importantes dans le logiciel de conférence Web populaire, les classant comme à haut risque. Ces vulnérabilités auraient pu permettre aux attaquants d’ajouter du code malveillant aux utilisateurs ou d’élever leurs privilèges dans le système, leur donnant un meilleur accès aux informations sensibles. La société a préparé des mises à jour pour corriger ces fuites.
La vulnérabilité la plus grave concernait la sauvegarde d’un enregistrement local sur un partage SMB, que les attaquants ont exploité pour offrir leurs exécutables aux victimes, selon l’analyse CVE-2023-22885, qui a montré un niveau de risque “élevé”. Le programme d’installation Windows du client Zoom pour les administrateurs informatiques a permis aux pirates d’augmenter leurs privilèges et ainsi d’obtenir des privilèges système dans une chaîne d’attaques, selon CVE-2023-22883, qui comportait également un niveau de risque “élevé”. Une vulnérabilité similaire existait dans le programme d’installation Mac du client Zoom, où les attaquants pouvaient accéder aux privilèges root via CVE-2023-22884, représentant un risque “moyen”.
Une récente mise à jour du composant Microsoft Edge WebView2 a laissé les clients Zoom, Zoom Rooms et Zoom VDI vulnérables à une fuite d’informations sur Windows. De plus, les attaquants pourraient exploiter une vulnérabilité via des paquets UDP manipulés pour immobiliser les clients Zoom pendant le traitement via des erreurs dans l’analyseur STUN, ce qui pourrait conduire à un éventuel déni de service.
Les vulnérabilités Zoom étaient présentes dans les versions Android, iOS, Linux, macOS et Windows qui existaient avant la version 5.13.5, Zoom Rooms pour Android, iOS, Linux, macOS et Windows avant la version 5.13.5, Zoom VDI Windows Meeting Clients avant version actuelle 5.13.10, Zoom Client for Meetings pour les installateurs Windows d’administration informatique antérieurs à 5.13.5 et Zoom Client for Meetings pour les installateurs macOS d’administration informatique antérieurs à la version 5.13.5.
Zoom a publié les avis de sécurité pour toutes les vulnérabilités, répertorié spécifiquement les versions concernées et proposé des téléchargements du logiciel mis à jour sur son site Web. La société a déclaré que les utilisateurs peuvent vérifier les mises à jour en cliquant sur la fonctionnalité logicielle, qui transmet l’état au système. Zoom avait également publié des mises à jour logicielles plus tôt cette année, en janvier, pour résoudre plusieurs problèmes.
