Zoom patcht Zero-Day-Schwachstelle

Die Sicherheitsexperten von ACROS Security berichten, dass sich die neue Zero-Day-Schwachstelle auf den Windows-Client von Zoom auswirkt, aber nur auf alten Versionen von Windows-Betriebssystemen wie Windows 7 und Windows Server 2008 R2. Zoom-Clients, die auf Windows 8 oder Windows 10 laufen, sind laut Mitja Kolsek, CEO von ACROS Security, nicht betroffen.

„Die Schwachstelle ermöglicht es einem Angreifer, beliebigen Code auf dem Computer des Opfers auszuführen, auf dem der Zoom-Client für Windows (jede derzeit unterstützte Version) installiert ist, indem er den Benutzer dazu bringt, einige typische Aktionen auszuführen, wie das Öffnen einer Dokumentdatei“, erklärt Kolsek. „Im Verlauf des Angriffs wird dem Benutzer keine Sicherheitswarnung angezeigt“, fügte er hinzu.

Kolsek sagte, dass ACROS die Schwachstelle nicht von sich aus entdeckt habe, sondern sie stattdessen von einem Sicherheitsforscher erhalten habe, der seine Identität geheim halten wollte.

ACROS meldete die Zero-Day-Schwachstelle an Zoom und veröffentlichte ein Update seines 0patch-Clients, um Angriffe für seine eigenen Kunden zu verhindern, bis Zoom einen offiziellen Fix veröffentlicht.

ACROS veröffentlichte keinerlei technische Details über die Zero-Day-Schwachstelle, aber ein Zoom-Sprecher bestätigte Schwachstelle und die Richtigkeit des Berichts: „Zoom nimmt alle Berichte über potenzielle Sicherheitslücken ernst. Heute Morgen erhielten wir einen Bericht über ein Problem, das Benutzer von Windows 7 und älter betrifft. Wir haben dieses Problem bestätigt und arbeiten derzeit an einem Patch, um es schnell zu beheben.“ Es gibt noch keinen Zeitplan, wann der Fix verfügbar sein wird. Ein Patch ist jedoch derzeit in Arbeit.

Nach der Entdeckung und Offenlegung mehrerer Sicherheitsprobleme mit dem Dienst von Zoom hat das Unternehmen am 1. April die Entwicklung aller neuen Funktionen angehalten, um sich ausschließlich auf sicherheits- und datenschutzbezogene Verbesserungen und Fehlerbehebungen zu konzentrieren. Diese Periode des Einfrierens von Funktionen, in der sich das Unternehmen auf die Verbesserung der Sicherheit der Anwendung konzentrierte, endete am 1. Juli 2020.

Zuvor stellte Zoom am 24. Juni mit Jason Lee, der zuvor als Senior Vice President of Security Operations bei Salesforce tätig war, auch einen neuen Chief Information Security Officer (CISO) ein.

Während der Feature-Freeze-Periode arbeitete Zoom auch mit Luta Security, um das Unternehmen bei der Einrichtung eines professionellen Bug-Bounty-Programms zu unterstützen. Zoom und Luta Security beendeten ihre Zusammenarbeit am Tag der Einstellung von Lee.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Jakob Jung

Recent Posts

OCSF: Neuer Standard für Cybersicherheit

Eine Koalition aus der Cybersicherheits- und Technologiebranche hat ein Open-Source-Projekt angekündigt, um Datensilos zu durchbrechen,…

6 Stunden ago

Container auf der Überholspur

Container werden immer populärer, denn damit können Entwickler Anwendungen auf der Grundlage eines kontinuierlichen Entwicklungsmodells…

6 Stunden ago

So erkennen Sie Deepfakes

Deepfakes werden bei Cyberkriminellen immer beliebter. Um sich zu schützen, können Sie diese Schwachstellen in…

12 Stunden ago

Sicherer surfen mit Microsoft Edge

Der Browser Microsoft Edge bietet erweiterte Sicherheitsfunktionen, die beim Surfen im Internet und beim Besuch…

12 Stunden ago

Modernes Schwachstellen-Management

Die Sicherheit für Informationstechnologie (IT) ist etabliert, aber bei Operational Technologie (OT) ist noch vieles…

1 Tag ago

So wehren Sie DDoS-Angriffe ab

Distributed-Denial-of-Service (DDoS)-Attacken werden immer gefährlicher. Wie Unternehmen mit dieser Gefahr umgehen sollten, schildert Security-Spezialist Steffen…

1 Tag ago