Severity: High
CVSS Score: 8.8
CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Description: The Zoom Client for Meetings for macOS (Standard and for IT Admin) starting with version 5.7.3 and before 5.11.6 contains a vulnerability in the auto update process. A local low-privileged user could exploit this vulnerability to escalate their privileges to root.
Note: This issue allows for a bypass of the patch issued in 5.11.5 to address CVE-2022-28756.
Users can help keep themselves secure by applying current updates or downloading the latest Zoom software with all current security updates from https://zoom.us/download.
Affected Products:
- Zoom Client for Meetings for macOS (Standard and for IT Admin) starting version 5.7.3 and before version 5.11.6
Source: Reported by Csaba Fitzl (theevilbit) of Offensive Security
Részletek itt és a Zoom biztonsági figyelmeztetőiben.
- A hozzászóláshoz be kell jelentkezni
- 540 megtekintés
Hozzászólások
"kétszer adott ki hozzá frissítést, de harmadszor is sikerült.. megkerülni a javítást"
Loál. Várjuk a negyediket!
Vortex Rikers NC114-85EKLS
- A hozzászóláshoz be kell jelentkezni
3 a magyar igazsag.... es jon a raadas! ;)
- A hozzászóláshoz be kell jelentkezni
nem ertem, hogy az x+1 -edik kritikus CVE utan miert hasznal meg barki zoom-ot, amikor barmelyik bongeszo siman webrtc -ben megoldja?
- A hozzászóláshoz be kell jelentkezni
Webes Zoomnál nem lehet átadni a vezérlést a külső félnek. Support esetén ez lehet lényeges. Más kérdés, hogy a Zoom kliens nálunk Windowson is tiltva van, marad az, hogy ha a support akar(na) valamit csinálni, akkor copy/paste.
- A hozzászóláshoz be kell jelentkezni
A Zoomnak én se vagyok híve, de szerintem ebben a tekintetben az többi hasonló szoftver sem különb. Biztonságilag az összes ilyen screen sharing, remote desktop szoftver rémálom, mivel az internet másik végén lógó idegennek adsz vele hozzáférést lényegében a teljes rendszeredhez.
MacOS-nél dettó, nem tartom sokra, de a Windowsnál rosszabb nem lehet.
“Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”
- A hozzászóláshoz be kell jelentkezni
1. A tobbi hasonlo szoftverrol nem jonnek havi szinten kritikus CVE-k.
2. Alapvetoen a felhasznalok 98%-anak semmi szuksege a nem-browser alapu videochat kliensek feature-eire.
- A hozzászóláshoz be kell jelentkezni
1. A tobbi hasonlo szoftverrol nem jonnek havi szinten kritikus CVE-k.
És biztonságosak is, vagy csak CVE-k nincsenek publikálva? :)
- A hozzászóláshoz be kell jelentkezni
2. Alapvetoen a felhasznalok 98%-anak semmi szuksege a nem-browser alapu videochat kliensek feature-eire.
+1, viszont ha a maradék 2% miatt kell egy párhuzamos rendszert üzemeltetni, akkor igazából nincs megoldva a probléma
- A hozzászóláshoz be kell jelentkezni