Zoom patcht Zero-Day-Schwachstelle

Die Sicherheitsexperten von ACROS Security berichten, dass sich die neue Zero-Day-Schwachstelle auf den Windows-Client von Zoom auswirkt, aber nur auf alten Versionen von Windows-Betriebssystemen wie Windows 7 und Windows Server 2008 R2. Zoom-Clients, die auf Windows 8 oder Windows 10 laufen, sind laut Mitja Kolsek, CEO von ACROS Security, nicht betroffen.

„Die Schwachstelle ermöglicht es einem Angreifer, beliebigen Code auf dem Computer des Opfers auszuführen, auf dem der Zoom-Client für Windows (jede derzeit unterstützte Version) installiert ist, indem er den Benutzer dazu bringt, einige typische Aktionen auszuführen, wie das Öffnen einer Dokumentdatei“, erklärt Kolsek. „Im Verlauf des Angriffs wird dem Benutzer keine Sicherheitswarnung angezeigt“, fügte er hinzu.

Kolsek sagte, dass ACROS die Schwachstelle nicht von sich aus entdeckt habe, sondern sie stattdessen von einem Sicherheitsforscher erhalten habe, der seine Identität geheim halten wollte.

ACROS meldete die Zero-Day-Schwachstelle an Zoom und veröffentlichte ein Update seines 0patch-Clients, um Angriffe für seine eigenen Kunden zu verhindern, bis Zoom einen offiziellen Fix veröffentlicht.

ACROS veröffentlichte keinerlei technische Details über die Zero-Day-Schwachstelle, aber ein Zoom-Sprecher bestätigte Schwachstelle und die Richtigkeit des Berichts: „Zoom nimmt alle Berichte über potenzielle Sicherheitslücken ernst. Heute Morgen erhielten wir einen Bericht über ein Problem, das Benutzer von Windows 7 und älter betrifft. Wir haben dieses Problem bestätigt und arbeiten derzeit an einem Patch, um es schnell zu beheben.“ Es gibt noch keinen Zeitplan, wann der Fix verfügbar sein wird. Ein Patch ist jedoch derzeit in Arbeit.

Nach der Entdeckung und Offenlegung mehrerer Sicherheitsprobleme mit dem Dienst von Zoom hat das Unternehmen am 1. April die Entwicklung aller neuen Funktionen angehalten, um sich ausschließlich auf sicherheits- und datenschutzbezogene Verbesserungen und Fehlerbehebungen zu konzentrieren. Diese Periode des Einfrierens von Funktionen, in der sich das Unternehmen auf die Verbesserung der Sicherheit der Anwendung konzentrierte, endete am 1. Juli 2020.

Zuvor stellte Zoom am 24. Juni mit Jason Lee, der zuvor als Senior Vice President of Security Operations bei Salesforce tätig war, auch einen neuen Chief Information Security Officer (CISO) ein.

Während der Feature-Freeze-Periode arbeitete Zoom auch mit Luta Security, um das Unternehmen bei der Einrichtung eines professionellen Bug-Bounty-Programms zu unterstützen. Zoom und Luta Security beendeten ihre Zusammenarbeit am Tag der Einstellung von Lee.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Jakob Jung

Recent Posts

Google-Statistik: In Microsoft-Produkten stecken die meisten Zero-Day-Lücken

Das gilt zumindest für das Jahr 2019. Google räumt aber ein, dass es für Windows…

4 Stunden ago

Microsoft stellt Support für mobile Cortana-Apps ein

Nutzer bleibt künftig nur die Cortana-Integration in Outlook Mobile. Microsoft empfiehlt als Alternative die Cortana-App…

6 Stunden ago

Google stellt Chrome-Erweiterung für transparentere Online-Anzeigen vor

Die Ads Transparency Spotlight genannte Erweiterung liefert Daten zu Werbeplattformen, Anzeigen und weiteren an einer…

8 Stunden ago

Wegen Twitter-Hack: US-Behörden verhaften 17-Jährigen

Er soll den Angriff koordiniert haben. Die Behörden werfen ihm unter anderem organisierten Betrug vor.…

10 Stunden ago

Microsoft behebt Bluetooth- und Intel-GPU-Bugs in Windows 10 2004

Beide Fehler verhindern derzeit ein automatisches Update auf die Version 2004. Die Sperre hebt Microsoft…

12 Stunden ago

Microsoft bestätigt Übernahmeverhandlungen mit TikTok

Es geht um das TikTok-Geschäft in den USA, Kanada, Australien und Neuseeland. Microsoft zufolge sind…

13 Stunden ago