Trust Center Security, Privacy, Blogs Additional Resources

Bulletins de sécurité

This page may be out of date while it is being translated, please refer to to the official English site for the latest security bulletins.

Tout niveau de gravité
  • Tout niveau de gravité
  • Critique
  • Élevée
  • Moyenne
  • Faible
Toutes les CVE
  • Toutes les CVE
  • CVE-2023-39209
  • CVE-2023-39214
  • CVE-2023-39213
  • CVE-2023-39212
  • CVE-2023-39211
  • CVE-2023-39210
  • CVE-2023-39218
  • CVE-2023-39217
  • CVE-2023-39216
  • CVE-2023-36535
  • CVE-2023-36534
  • CVE-2023-36533
  • CVE-2023-36532
  • CVE-2023-36541
  • CVE-2023-36540
  • CVE-2023-36538
  • CVE-2023-36537
  • CVE-2023-36536
  • CVE-2023-34119
  • CVE-2023-34118
  • CVE-2023-34117
  • CVE-2023-34116
  • CVE-2023-36539
  • CVE-2023-34115
  • CVE-2023-34114
  • CVE-2023-34113
  • CVE-2023-34122
  • CVE-2023-34121
  • CVE-2023-34120
  • CVE-2023-28603
  • CVE-2023-28602
  • CVE-2023-28601
  • CVE-2023-28600
  • CVE-2023-28599
  • CVE-2023-28598
  • CVE-2023-28597
  • CVE-2023-28596
  • CVE-2023-22883
  • CVE-2023-22881
    CVE-2023-22882
  • CVE-2023-22880
  • CVE-2022-36930
  • CVE-2022-36929
  • CVE-2022-36928
  • CVE-2022-36926
    CVE-2022-36927
  • CVE-2022-36925
  • CVE-2022-36924
  • CVE-2022-28768
  • CVE-2022-28766
  • CVE-2022-28764
  • CVE-2022-28763
  • CVE-2022-28762
  • CVE-2022-28761
  • CVE-2022-28760
  • CVE-2022-28758
    CVE-2022-28759
  • CVE-2022-28757
  • CVE-2022-28756
  • CVE-2022-28751
  • CVE-2022-28753
    CVE-2022-28754
  • CVE-2022-28755
  • CVE-2022-28750
  • CVE-2022-28749
  • CVE-2022-22788
  • CVE-2022-22787
  • CVE-2022-22786
  • CVE-2022-22785
  • CVE-2022-22784
  • CVE-2022-22783
  • CVE-2022-22782
  • CVE-2022-22781
  • CVE-2022-22780
  • CVE-2022-22779
  • CVE-2021-34426
  • CVE-2021-34425
  • CVE-2021-34424
  • CVE-2021-34423
  • CVE-2021-34422
  • CVE-2021-34421
  • CVE-2021-34420
  • CVE-2021-34419
  • CVE-2021-34418
  • CVE-2021-34417
  • CVE-2021-34416
  • CVE-2021-34415
  • CVE-2021-34414
  • CVE-2021-34413
  • CVE-2021-34412
  • CVE-2021-34411
  • CVE-2021-34408
  • CVE-2021-33907
  • CVE-2021-30480
  • CVE-2021-28133
  • CVE-2020-9767
  • CVE-2020-11443
  • CVE-2019-13567
  • CVE-2019-13450
  • CVE-2019-13449
Recherche

Bulletins de sécurité

Zoom ne donne aux clients aucune directive individuelle concernant les conséquences des vulnérabilités signalées dans un bulletin de sécurité Zoom, ni de détails supplémentaires sur les vulnérabilités. Nous recommandons aux utilisateurs d’installer la dernière version du logiciel Zoom pour bénéficier des correctifs et des améliorations de sécurité.

ZSB Date Titre Gravité CVE (si applicable)
ZSB-23041 08/08/2023 Client de bureau Zoom pour Windows - Validation inappropriée de la saisie Moyenne CVE-2023-39209

Gravité: Moyenne

Score CVSS: 5.9

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Description: Une validation de saisie inappropriée dans les versions du client de bureau Zoom pour Windows antérieures à 5.15.5 peut permettre à un utilisateur authentifié de divulguer des informations via un accès réseau.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Client de bureau Zoom pour Windows antérieur à la version 5.15.5

Source: Signalé par l’Équipe de sécurité offensive Zoom.

ZSB-23039 08/08/2023 SDK du client Zoom - Exposition d’informations sensibles Élevée CVE-2023-39214

Gravité: Élevée

Score CVSS: 7.6

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H

Description: Une exposition d’informations sensibles dans les versions du SDK du client Zoom antérieures à 5.15.5 peut permettre à un utilisateur authentifié d’effectuer un déni de service via un accès réseau.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • SDK du client Zoom pour Windows antérieur à la version 5.15.5
  • SDK du client Zoom pour iOS antérieur à la version 5.15.5
  • SDK du client Zoom pour Android antérieur à la version 5.15.5
  • SDK du client Zoom pour macOS antérieur à la version 5.15.5
  • SDK du client Zoom pour Linux antérieur à la version 5.15.5

Source: Signalé par l’Équipe de sécurité offensive Zoom.

ZSB-23038 08/08/2023 Client de bureau Zoom pour Windows et client Zoom VDI - Neutralisation inappropriée des éléments spéciaux Critique CVE-2023-39213

Gravité: Critique

Score CVSS: 9.6

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Description: Une neutralisation inappropriée des éléments spéciaux des versions du client de bureau Zoom pour Windows et du client Zoom VDI antérieures à 5.15.2 peut permettre à un utilisateur non authentifié de bénéficier de privilèges supérieurs via un accès réseau.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Client de bureau Zoom pour Windows antérieur à la version 5.15.2
  • Client Zoom VDI antérieur à la version 5.15.2

Source: Signalé par l’Équipe de sécurité offensive Zoom.

ZSB-23037 08/08/2023 Zoom Rooms pour Windows - Chemin de recherche non reconnu Élevée CVE-2023-39212

Gravité: Élevée

Score CVSS: 7.9

Chaîne vectorielle CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

Description: Un chemin de recherche non reconnu dans les versions de Zoom Rooms pour Windows antérieures à 5.15.5 peut permettre à un utilisateur authentifié d’effectuer un déni de service via un accès local.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Zoom Rooms pour Windows antérieur à la version 5.15.5

Source: Signalé par sim0nsecurity.

ZSB-23036 08/08/2023 Client de bureau Zoom pour Windows et Zoom Rooms pour Windows - Gestion inappropriée des privilèges Élevée CVE-2023-39211

Gravité: Élevée

Score CVSS: 8.8

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Une gestion inappropriée des privilèges dans les versions du client de bureau Zoom pour Windows et de Zoom Rooms pour Windows antérieures à 5.15.5 peut permettre à un utilisateur authentifié de divulguer des informations via un accès local.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Client Zoom pour Windows antérieur à la version 5.15.5
  • Zoom Rooms pour Windows antérieur à la version 5.15.5

Source: Signalé par sim0nsecurity.

ZSB-23035 08/08/2023 SDK du client Zoom pour Windows - Stockage des informations sensibles en texte clair Moyenne CVE-2023-39210

Gravité: Moyenne

Score CVSS: 5.5

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Description: Le stockage d’informations sensibles en texte clair dans les versions du SDK du client Zoom pour Windows antérieures à 5.15.0 peut permettre à un utilisateur authentifié de divulguer des informations via un accès local.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • SDK du client Zoom pour Windows antérieur à la version 5.15.0

Source: Signalé par sim0nsecurity.

ZSB-23034 08/08/2023 Clients Zoom - Application côté client de la sécurité côté serveur Moyenne CVE-2023-39218

Gravité: Moyenne

Score CVSS: 6.5

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

Description: L’application côté client de la sécurité côté serveur dans les versions des clients Zoom antérieures à 5.14.10 peut permettre à un utilisateur doté de privilège de divulguer des informations via un accès réseau.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Client de bureau Zoom pour Windows antérieur à la version 5.14.10
  • Client de bureau Zoom pour macOS antérieur à la version 5.14.10
  • Client de bureau Zoom pour Linux antérieur à la version 5.14.10
  • Hôte et module d’extension Zoom VDI antérieurs à la version 5.14.10
  • Application mobile Zoom pour Android antérieure à la version 5.14.10
  • Application mobile Zoom pour iOS antérieure à la version 5.14.10
  • Zoom Rooms pour iPad antérieur à la version 5.14.10
  • Zoom Rooms pour Android antérieur à la version 5.14.10
  • Zoom Rooms pour Windows antérieur à la version 5.14.10
  • Zoom Rooms pour macOS antérieur à la version 5.14.10

Source: Signalé par l’Équipe de sécurité offensive Zoom.

ZSB-23033 08/08/2023 SDK Zoom - Validation inappropriée de la saisie Critique CVE-2023-39217

Gravité: Critique

Score CVSS: 5.3

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Description: Une validation inappropriée de la saisie dans les versions du SDK Zoom antérieures à 5.14.10 peut permettre à un utilisateur non authentifié d’effectuer un déni de service via un accès réseau.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • SDK du client Zoom pour Windows antérieur à la version 5.14.10
  • SDK du client Zoom pour iOS antérieur à la version 5.14.10
  • SDK du client Zoom pour Android antérieur à la version 5.14.10
  • SDK du client Zoom pour macOS antérieur à la version 5.14.10
  • SDK du client Zoom pour Linux antérieur à la version 5.14.10

Source: Signalé par l’Équipe de sécurité offensive Zoom.

ZSB-23032 08/08/2023 Client de bureau Zoom pour Windows - Validation inappropriée de la saisie Critique CVE-2023-39216

Gravité: Critique

Score CVSS: 9.6

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Description: Une validation de saisie inappropriée dans les versions du client de bureau Zoom pour Windows antérieures à 5.14.7 peut permettre à un utilisateur non authentifié de bénéficier de privilèges supérieurs via un accès réseau.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Client de bureau Zoom pour Windows antérieur à la version 5.14.7

Source: Signalé par l’Équipe de sécurité offensive Zoom.

ZSB-23031 08/08/2023 Clients Zoom - Application côté client de la sécurité côté serveur Critique CVE-2023-36535

Gravité: Critique

Score CVSS: 7.1

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L

Description: L’application côté client de la sécurité côté serveur dans les versions des clients Zoom antérieures à 5.14.10 peut permettre à un utilisateur authentifié de divulguer des informations via un accès réseau.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Clients Zoom pour Windows antérieurs à la version 5.14.10
  • Client de bureau Zoom pour macOS antérieur à la version 5.14.10
  • Client de bureau Zoom pour Linux antérieur à la version 5.14.10
  • Hôte et module d’extension Zoom VDI antérieurs à la version 5.14.10
  • Application mobile Zoom pour Android antérieure à la version 5.14.10
  • Application mobile Zoom pour iOS antérieure à la version 5.14.10
  • Zoom Rooms pour iPad antérieur à la version 5.14.10
  • Zoom Rooms pour Android antérieur à la version 5.14.10
  • Zoom Rooms pour Windows antérieur à la version 5.14.10
  • Zoom Rooms pour macOS antérieur à la version 5.14.10

Source: Signalé par l’Équipe de sécurité offensive Zoom.

ZSB-23030 08/08/2023 Client de bureau Zoom pour Windows - Balayage du chemin d’accès Critique CVE-2023-36534

Gravité: Critique

Score CVSS: 9.3

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H

Description: Un balayage du chemin d’accès dans les versions du client de bureau Zoom pour Windows antérieures à 5.14.7 peut permettre à un utilisateur non authentifié de bénéficier de privilèges supérieurs via un accès réseau.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Client de bureau Zoom pour Windows antérieur à la version 5.14.7

Source: Signalé par l’Équipe de sécurité offensive Zoom.

ZSB-23029 08/08/2023 SDK Zoom - Utilisation incontrôlée des ressources Critique CVE-2023-36533

Gravité: Critique

Score CVSS: 7.1

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H

Description: Une utilisation incontrôlée des ressources dans les versions du SDK Zoom antérieures à 5.14.7 peut permettre à un utilisateur non authentifié d’effectuer un déni de service via un accès réseau.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • SDK du client Zoom pour Windows antérieur à la version 5.14.7
  • SDK du client Zoom pour iOS antérieur à la version 5.14.7
  • SDK du client Zoom pour Android antérieur à la version 5.14.7
  • SDK du client Zoom pour macOS antérieur à la version 5.14.7
  • SDK du client Zoom pour Linux antérieur à la version 5.14.7

Source: Signalé par l’Équipe de sécurité offensive Zoom.

ZSB-23028 08/08/2023 Clients Zoom - Débordement de la mémoire tampon Critique CVE-2023-36532

Gravité: Critique

Score CVSS: 5.9

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Description: Un débordement de la mémoire tampon dans les versions des clients Zoom antérieures à 5.14.5 peut permettre à un utilisateur non authentifié d’effectuer un déni de service via un accès réseau.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Client de bureau Zoom pour Windows antérieur à la version 5.14.5
  • Client de bureau Zoom pour macOS antérieur à la version 5.14.5
  • Client de bureau Zoom pour Linux antérieur à la version 5.14.5
  • Hôte et module d’extension Zoom VDI antérieurs à la version 5.14.5
  • Application mobile Zoom pour Android, version 5.14.5
  • Application mobile Zoom pour iOS antérieure à la version 5.14.5
  • Zoom Rooms pour iPad antérieur à la version 5.14.5
  • Zoom Rooms pour Android antérieur à la version 5.14.5
  • Zoom Rooms pour Windows antérieur à la version 5.14.5
  • Zoom Rooms pour macOS antérieur à la version 5.14.5

Source: Signalé par l’Équipe de sécurité offensive Zoom.

ZSB-23027 08/08/2023 Client de bureau Zoom pour Windows - Vérification insuffisante de l’authenticité des données Critique CVE-2023-36541

Gravité: Critique

Score CVSS: 8

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Description: Une vérification insuffisante de l’authenticité des données dans les clients de bureau Zoom pour Windows antérieurs à 5.14.5 peut permettre à un utilisateur authentifié de bénéficier de privilèges supérieurs via un accès réseau.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Client de bureau Zoom pour Windows antérieur à la version 5.14.5

Source: Signalé par sim0nsecurity.

ZSB-23026 08/08/2023 Le client de bureau Zoom pour Windows - Chemin de recherche non approuvé Critique CVE-2023-36540

Gravité: Critique

Score CVSS: 7.3

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Description: Un chemin de recherche non approuvé dans le programme d’installation des versions du client de bureau Zoom pour Windows antérieures à 5.14.5 peut permettre à un utilisateur authentifié de bénéficier de privilèges supérieurs via un accès local.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Client de bureau Zoom pour Windows antérieur à la version 5.14.5

Source: Signalé par sim0nsecurity.

ZSB-23024 07/11/2023 Contrôle des accès inapproprié Critique CVE-2023-36538

Gravité: Critique

Score CVSS: 8.4

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Description: Un contrôle des accès inapproprié dans les versions de Zoom Rooms pour Windows antérieures à 5.15.0 peut permettre à un utilisateur authentifié de bénéficier de privilèges supérieurs via un accès local.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Zoom Rooms pour Windows antérieur à la version 5.15.0

Source: Signalé par sim0nsecurity.

ZSB-23023 07/11/2023 Gestion incorrecte des privilèges Critique CVE-2023-36537

Gravité: Critique

Score CVSS: 7.3

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Description: Une gestion inappropriée des privilèges dans les versions de Zoom Rooms pour Windows antérieures à 5.14.5 peut permettre à un utilisateur authentifié de bénéficier de privilèges supérieurs via un accès local.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Zoom Rooms pour Windows antérieur à la version 5.14.5

Source: Signalé par sim0nsecurity.

ZSB-23022 07/11/2023 Chemin de recherche non approuvé Critique CVE-2023-36536

Gravité: Critique

Score CVSS: 8.2

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Description: Un chemin de recherche non approuvé dans le programme d’installation des versions de Zoom Rooms pour Windows antérieures à 5.15.0 peut permettre à un utilisateur authentifié de bénéficier de privilèges supérieurs via un accès local.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Zoom Rooms pour Windows antérieur à la version 5.15.0

Source: Signalé par sim0nsecurity.

ZSB-23021 07/11/2023 Fichier temporaire non sécurisé Critique CVE-2023-34119

Gravité: Critique

Score CVSS: 8.2

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Description: Un fichier temporaire non sécurisé dans le programme d’installation des versions de Zoom Rooms pour Windows antérieures à 5.15.0 peut permettre à un utilisateur authentifié de bénéficier de privilèges supérieurs via un accès local.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Zoom Rooms pour Windows antérieur à la version 5.15.0

Source: Signalé par sim0nsecurity.

ZSB-23020 07/11/2023 Gestion incorrecte des privilèges Critique CVE-2023-34118

Gravité: Critique

Score CVSS: 7.3

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Description: Une gestion inappropriée des privilèges dans les versions de Zoom Rooms pour Windows antérieures à 5.14.5 peut permettre à un utilisateur authentifié de bénéficier de privilèges supérieurs via un accès local.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Zoom Rooms pour Windows antérieur à la version 5.14.5

Source: Signalé par sim0nsecurity.

ZSB-23019 07/11/2023 Balayage du chemin d’accès relatif Critique CVE-2023-34117

Gravité: Critique

Score CVSS: 3.3

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

Description: Le balayage du chemin d’accès relatif dans les versions du SDK du client Zoom antérieures à 5.15.0 peut permettre à un utilisateur non authentifié de divulguer des informations via un accès local.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • SDK du client Zoom antérieur à la version 5.15.0

Source: Signalé par Dimitrios Valsamaras de Microsoft.

ZSB-23018 07/11/2023 Validation inappropriée de la saisie Critique CVE-2023-34116

Gravité: Critique

Score CVSS: 8.2

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:H

Description: Une validation de saisie inappropriée dans les versions du client de bureau Zoom pour Windows antérieures à 5.15.0 peut permettre à un utilisateur non authentifié de bénéficier de privilèges supérieurs via un accès réseau.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Client de bureau Zoom pour Windows antérieur à la version 5.15.0

Source: Signalé par sim0nsecurity.

ZSB-23025 06/29/2023 Exposition d’informations sensibles Critique CVE-2023-36539

Gravité: Critique

Score CVSS: 5.3

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

Description: Des informations censées être chiffrées par certains clients Zoom ont été exposées et ont pu entraîner la divulgation d’informations sensibles.

Zoom chiffre les messages du chat en réunion avec une clé propre à chaque réunion, puis avec le protocole TLS lors de leur transfert entre les appareils des utilisateurs et les systèmes Zoom. Dans les produits concernés par ce problème, une copie de chaque message du chat en réunion est également envoyée après un simple chiffrement avec le protocole TLS : les messages ne sont pas chiffrés avec une clé de réunion. Les messages échangés lors de réunions E2EE (chiffrées de bout en bout) ne sont pas épargnés.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download, et en évitant d’utiliser le chat en réunion dans les versions concernées.

Produits concernés:

  • Client de bureau Zoom pour Windows, versions 5.15.0 et 5.15.1
  • Client de bureau Zoom pour macOS, version 5.15.0 uniquement
  • Client de bureau Zoom pour Linux, version 5.15.0 uniquement
  • Application mobile Zoom pour iOS, version 5.15.0 uniquement
  • Application mobile Zoom pour Android, version 5.15.0 uniquement
  • Zoom Rooms pour Windows, version 5.15.0 uniquement
  • Zoom Rooms pour macOS, version 5.15.0 uniquement
  • Zoom Rooms pour iPad, version 5.15.0 uniquement
  • Appareil Zoom Phone, version 5.15.0 uniquement
  • SDK Zoom Meeting pour Android, version 5.15.0 uniquement
  • SDK Zoom Meeting pour iOS, version 5.15.0 uniquement
  • SDK Zoom Meeting pour macOS, version 5.15.0 uniquement
  • SDK Zoom Meeting pour Windows, version 5.15.1 uniquement
  • SDK Vidéo Zoom pour Windows, version 1.8.0 uniquement
  • SDK Vidéo Zoom pour macOS, version 1.8.0 uniquement
  • SDK Vidéo Zoom pour Android, version 1.8.0 uniquement
  • SDK Vidéo Zoom pour iOS, version 1.8.0 uniquement
  • SDK Vidéo Zoom pour Linux, version 1.8.0 uniquement

Source: Signalé par l’Équipe de sécurité offensive Zoom.

ZSB-23017 06/13/2023 Copie de la mémoire tampon sans vérification du volume de données Critique CVE-2023-34115

Gravité: Critique

Score CVSS: 4.0

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Description: Dans Zoom Meeting SDK antérieur à la version 5.13.0, effectuer une copie de la mémoire tampon sans vérifier le volume de données peut permettre à un utilisateur authentifié de créer un déni de service par un accès local. Ce problème risque d’entraîner le plantage de Zoom Meeting SDK qui doit alors redémarrer.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Zoom Meeting SDK antérieur à 5.13.0.

Source: Signalé par Eugene Lim

ZSB-23016 06/13/2023 Diffusion de ressources dans la mauvaise sphère Critique CVE-2023-34114

Gravité: Critique

Score CVSS: 4.3

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N

Description: Diffuser des ressources dans la mauvaise sphère sur les clients Zoom for Windows et Zoom for macOS antérieurs à 5.14.10 peut permettre à un utilisateur authentifié de divulguer des informations via un accès réseau.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Zoom for Windows antérieur à la version 5.14.10
  • Zoom for macOS antérieur à la version 5.14.10

Source: Signalé par Siddhi Katariya (chikorita)

ZSB-23015 06/13/2023 Vérification insuffisante de l’authenticité des données Critique CVE-2023-34113

Gravité: Critique

Score CVSS: 8

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Description: Une vérification insuffisante de l’authenticité des données dans les clients Zoom for Windows antérieurs à 5.14.0 peut permettre à un utilisateur authentifié de bénéficier de privilèges supérieurs via un accès réseau.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Clients Zoom for Windows antérieurs à la version 5.14.0

Source: Signalé par sim0nsecurity

ZSB-23014 06/13/2023 Validation inappropriée de la saisie Critique CVE-2023-34122

Gravité: Critique

Score CVSS: 7.3

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

Description: Une validation inappropriée de la saisie dans le programme d’installation des clients Zoom for Windows antérieurs à 5.14.0 peut permettre à un utilisateur authentifié de bénéficier de privilèges supérieurs via un accès local.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Clients Zoom for Windows antérieurs à la version 5.14.0

Source: Signalé par sim0nsecurity

ZSB-23013 06/13/2023 Validation inappropriée de la saisie Critique CVE-2023-34121

Gravité: Critique

Score CVSS: 4.9

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N

Description: Une validation inappropriée de la saisie dans les clients Zoom for Windows, Zoom Rooms et Zoom VDI Windows Meeting antérieurs à 5.14.0 peut permettre à un utilisateur authentifié de bénéficier de privilèges supérieurs via un accès réseau.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Clients Zoom for Windows antérieurs à la version 5.14.0
  • Client Zoom Rooms pour Windows antérieur à la version 5.14.0
  • Clients Zoom VDI Windows Meeting antérieurs à la version 5.14.0

Source: Signalé par Mohit Rawat - ASPIA InfoTech

ZSB-23012 06/13/2023 Gestion incorrecte des privilèges Critique CVE-2023-34120

Gravité: Critique

Score CVSS: 8.7

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L

Description: Une gestion incorrecte des privilèges dans les clients Zoom for Windows, Zoom Rooms pour Windows et Zoom VDI pour Windows antérieurs à 5.14.0 peut permettre à un utilisateur authentifié de bénéficier de privilèges supérieurs via un accès local. Les utilisateurs risquent de lancer des processus en utilisant des privilèges système de niveau supérieur conservés par le client Zoom.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Clients Zoom for Windows antérieurs à la version 5.14.0
  • Client Zoom Rooms pour Windows antérieur à la version 5.14.0
  • Clients Zoom VDI Windows Meeting antérieurs à la version 5.14.0

Source: Signalé par sim0nsecurity

ZSB-23011 06/13/2023 Contrôle des accès inapproprié dans le programme d’installation du client Zoom VDI Critique CVE-2023-28603

Gravité: Critique

Score CVSS: 7.7

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:L

Description: Le programme d’installation du client Zoom VDI antérieur à 5.14.0 présente une vulnérabilité liée à un contrôle des accès inapproprié. Un utilisateur malveillant pourrait supprimer des fichiers en local sans autorisation.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Programme d’installation de Zoom VDI Windows Meeting antérieur à la version 5.14.0

Source: Signalé par sim0nsecurity

ZSB-23010 06/13/2023 Vérification incorrecte de la signature cryptographique dans les clients Zoom Critique CVE-2023-28602

Gravité: Critique

Score CVSS: 2.8

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N

Description: Les clients Zoom for Windows antérieurs à 5.13.5 présentent une vulnérabilité liée à une vérification incorrecte de la signature cryptographique. Un utilisateur malveillant pourrait rétrograder des composants du client Zoom à des versions précédentes.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Clients Zoom for Windows antérieurs à la version 5.13.5

Source: Signalé par Kirin (Pwnrin)

ZSB-23009 06/13/2023 Restriction inappropriée du fonctionnement liée à la mémoire tampon dans les clients Zoom Critique CVE-2023-28601

Gravité: Critique

Score CVSS: 2

Chaîne vectorielle CVSS: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

Description: Dans les clients Zoom for Windows antérieurs à 5.14.0, certaines fonctionnalités se trouvent restreintes en raison d’une vulnérabilité au niveau de la mémoire tampon. Un utilisateur malveillant pourrait modifier la mémoire tampon protégée du client Zoom causant ainsi des problèmes d’intégrité.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Clients Zoom for Windows antérieurs à la version 5.14.0

Source: Signalé par sim0nsecurity

ZSB-23008 06/13/2023 Contrôle des accès inapproprié dans les clients Zoom Critique CVE-2023-28600

Gravité: Critique

Score CVSS: 6.6

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:L

Description: Les clients Zoom for macOS antérieurs à 5.14.0 présentent une vulnérabilité liée à un contrôle des accès inapproprié. Un utilisateur malveillant serait en mesure de supprimer/remplacer des fichiers du client Zoom causant ainsi des problèmes d’intégrité et de disponibilité.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Clients Zoom for macOS antérieurs à la version 5.14.0

Source: Signalé par Koh M. Nakagawa (@tsunek0h)

ZSB-23007 06/13/2023 Vulnérabilité liée à une injection HTML dans les clients Zoom Critique CVE-2023-28599

Gravité: Critique

Score CVSS: 4.2

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

Description: Les clients Zoom antérieurs à 5.13.10 présentent une vulnérabilité liée à une injection HTML. Un utilisateur malveillant serait en mesure d’injecter du code HTML dans son nom d’affichage afin de rediriger une victime vers un site pirate lors de la création d’une réunion.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Clients Zoom for Android, iOS, Linux, macOS et Windows antérieurs à la version 5.13.10

Source: Signalé par Mohit Rawat - ASPIA InfoTech

ZSB-23006 06/13/2023 Injection HTML dans les clients Zoom for Linux Critique CVE-2023-28598

Gravité: Critique

Score CVSS: 7.5

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Description: Les clients Zoom for Linux antérieurs à 5.13.10 présentent une vulnérabilité liée à une injection HTML. Le lancement d’une discussion avec un utilisateur malveillant dans le chat pourrait causer un plantage de l’application Zoom.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Clients Zoom for Linux antérieurs à la version 5.13.10

Source: Signalé par Antoine Roly (aroly)

ZSB-23005 03/14/2023 Mise en œuvre incorrecte des limites de confiance pour SMB dans les clients Zoom [Updated 2023-04-07] Critique CVE-2023-28597

Gravité: Critique

Score CVSS: 8.3

Chaîne vectorielle CVSS: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

Description: Les clients Zoom antérieurs à la version 5.13.5 présentent une vulnérabilité liée à la mise en œuvre des limites de confiance. Si une victime enregistre un enregistrement local dans un emplacement SMB, puis qu’elle l’ouvre ultérieurement à l’aide d’un lien à partir du portail Web Zoom, un attaquant peut, à partir d’un réseau adjacent au client victime, configurer un serveur SMB malveillant pour répondre aux demandes du client ; celui-ci pourrait alors exécuter des exécutables contrôlés par l’attaquant. L’attaquant aurait ainsi accès à l’appareil et aux données d’un utilisateur, et pourrait exécuter du code à distance.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

* Modifications – 07/04/2023 – Suppression d’Android et d’iOS de la section « Produits concernés ».

Produits concernés:

  • Clients Zoom (Linux, macOS et Windows) antérieurs à la version 5.13.5
  • Clients Zoom Rooms (Linux, macOS et Windows) antérieurs à la version 5.13.5
  • Zoom Client for Meetings pour VDI Windows avant la version 5.13.10

Source: Signalé par l’Équipe de sécurité offensive Zoom

ZSB-23004 03/14/2023 Élévation locale de privilèges dans les programmes d’installation de Zoom pour macOS Critique CVE-2023-28596

Gravité: Critique

Score CVSS: 5.2

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L

Description: Les programmes d’installation du client Zoom pour administrateurs informatiques pour macOS antérieurs à la version 5.13.5 présentent une vulnérabilité entraînant l’élévation locale de privilèges. Un utilisateur local à faibles privilèges pourrait exploiter cette vulnérabilité dans une chaîne d’attaque lors du processus d’installation pour disposer des privilèges d’un utilisateur racine.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Programmes d’installation de Zoom Client for Meetings pour administrateurs informatiques pour macOS antérieurs à la version 5.13.5

Source: Signalé par Koh M. Nakagawa (tsunekoh)

ZSB-23003 03/14/2023 Élévation locale de privilèges dans les programmes d’installation de Zoom pour Windows Critique CVE-2023-22883

Gravité: Critique

Score CVSS: 7.2

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:N/I:H/A:H

Description: Les programmes d’installation du client Zoom pour administrateurs informatiques pour Windows antérieurs à la version 5.13.5 présentent une vulnérabilité entraînant l’élévation locale de privilèges. Un utilisateur local à faibles privilèges pourrait exploiter cette vulnérabilité dans une chaîne d’attaque lors du processus d’installation pour élever ses privilèges à ceux d’un utilisateur SYSTEM.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Programmes d’installation de Zoom Client for Meetings pour administrateurs informatiques pour Windows antérieurs à la version 5.13.5

Source: Signalé par sim0nsecurity

ZSB-23002 03/14/2023 Déni de service dans les clients Zoom Critique CVE-2023-22881
CVE-2023-22882

Gravité: Critique

Score CVSS: 6.5

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Description: Les clients Zoom antérieurs à la version 5.13.5 présentent une vulnérabilité liée à l’analyse STUN. Une personne malveillante pourrait diriger du trafic UDP élaboré à cet effet, vers un client Zoom victime pour provoquer à distance l’arrêt de celui-ci, entraînant un déni de service.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Clients Zoom (pour Android, iOS, Linux, macOS et Windows) antérieurs à la version 5.13.5

Source: Signalé par l’Équipe de sécurité offensive Zoom

ZSB-23001 03/14/2023 Divulgation d’informations dans les clients Zoom for Windows Critique CVE-2023-22880

Gravité: Critique

Score CVSS: 6.8

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N

Description: Les clients Zoom for Windows antérieurs à la version 5.13.3, les clients Zoom Rooms for Windows antérieurs à la version 5.13.5 et les clients Zoom VDI for Windows antérieurs à la version 5.13.1 présentent une vulnérabilité liée à la divulgation d’informations. Une mise à jour récente de Microsoft Edge WebView2 Runtime utilisé par les clients Zoom concernés, transmettait le texte au service de vérification orthographique en ligne de Microsoft, au lieu du vérificateur d’orthographe Windows local. La mise à jour de Zoom élimine cette vulnérabilité en désactivant la fonction. Mettre à jour Microsoft Edge WebView2 Runtime vers la version 109.0.1481.0 au minimum et redémarrer Zoom élimine cette vulnérabilité en mettant à jour les paramètres de télémétrie de Microsoft.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Clients Zoom for Windows antérieurs à la version 5.13.3
  • Clients Zoom Rooms for Windows antérieurs à la version 5.13.3
  • Clients Zoom VDI pour Windows antérieurs à la version 5.13.1

Source: Signalé par l’Équipe de sécurité de Zoom

ZSB-22035 01/06/2023 Élévation locale de privilèges dans les programmes d’installation de Zoom Rooms for Windows Critique CVE-2022-36930

Gravité: Critique

Score CVSS: 8.2

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Description: Les programmes d’installation de Zoom Rooms for Windows antérieurs à la version 5.13.0 présentent une vulnérabilité entraînant l’élévation locale de privilèges. Un utilisateur local à faibles privilèges pourrait exploiter cette vulnérabilité dans une chaîne d’attaque pour élever ses privilèges à ceux d’un utilisateur SYSTEM.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Programmes d’installation de Zoom Rooms for Windows antérieurs à la version 5.13.0

Source: Signalé par sim0nsecurity

ZSB-22034 01/06/2023 Élévation locale de privilèges dans les clients Zoom Rooms for Windows Critique CVE-2022-36929

Gravité: Critique

Score CVSS: 7.8

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Les clients Zoom Rooms for Windows antérieurs à la version 5.12.7 présentent une vulnérabilité entraînant l’élévation locale de privilèges. Un utilisateur local à faibles privilèges pourrait exploiter cette vulnérabilité dans une chaîne d’attaque pour élever ses privilèges à ceux d’un utilisateur SYSTEM.
Les utilisateurs peuvent garantir leur sécurité en appliquant les mises à jour actuelles ou en téléchargeant le dernier logiciel Zoom avec toutes les mises à jour de sécurité actuelles depuis https://zoom.us/download

Produits concernés:

  • Clients Zoom Rooms for Windows antérieurs à la version 5.12.7

Source: Signalé par sim0nsecurity

ZSB-22033 01/06/2023 Traversée de chemins d’accès dans les clients Zoom for Android Critique CVE-2022-36928

Gravité: Critique

Score CVSS: 6.1

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N

Description: Les clients Zoom for Android antérieurs à la version 5.13.0 présentent une vulnérabilité liée à la traversée des chemins d’accès. Une application tierce pourrait exploiter cette vulnérabilité pour effectuer des opérations de lecture/écriture dans le répertoire de données de l’application Zoom.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Clients Zoom for Android antérieurs à la version 5.13.0

Source: Signalé par Dimitrios Valsamaras de Microsoft

ZSB-22032 01/06/2023 Élévation locale de privilèges dans les clients Zoom Rooms for macOS Critique CVE-2022-36926
CVE-2022-36927

Gravité: Critique

Score CVSS: 8.8

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Les clients Zoom Rooms for macOS antérieurs à la version 5.11.3 présentent une vulnérabilité entraînant l’élévation locale de privilèges. Un utilisateur local à faibles privilèges peut exploiter cette vulnérabilité pour élever ses privilèges à ceux d’un utilisateur racine.
Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Clients Zoom for macOS antérieurs à la version 5.11.3

Source: Signalé par Kirin (Pwnrin)

ZSB-22031 01/06/2023 Génération de clés non sécurisée pour les clients Zoom Rooms for macOS Critique CVE-2022-36925

Gravité: Critique

Score CVSS: 4.4

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

Description: Les clients Zoom Rooms for macOS antérieurs à la version 5.11.4 contiennent un mécanisme de génération de clés non sécurisé. La clé de chiffrement utilisée pour IPC entre le service daemon Zoom Rooms et le client Zoom Rooms a été générée à l’aide de paramètres pouvant être obtenus par une application locale à faibles privilèges. Cette clé peut ensuite être utilisée pour interagir avec le service daemon afin d’exécuter des fonctions nécessitant des privilèges et entraîner un déni de service local.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Zoom Rooms for macOS avant la version 5.11.4

Source: Signalé par Kirin (Pwnrin)

ZSB-22030 11/15/2022 Élévation locale de privilèges dans le programme d’installation de Zoom Rooms pour Windows Critique CVE-2022-36924

Gravité: Critique

Score CVSS: 8.8

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Les versions du programme d’installation de Zoom Rooms pour Windows antérieures à 5.12.6 présentent une vulnérabilité susceptible d’élever le niveau de privilèges d’un utilisateur local. Un utilisateur local à faibles privilèges peut exploiter cette vulnérabilité lors du processus d’installation pour élever ses privilèges à ceux d’un utilisateur SYSTEM.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Programme d’installation de Zoom Rooms pour Windows avant la version 5.12.6

Source: Signalé par sim0nsecurity

ZSB-22029 11/15/2022 Élévation locale de privilèges dans le programme d’installation du client Zoom pour macOS Critique CVE-2022-28768

Gravité: Critique

Score CVSS: 8.8

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Les versions du programme d’installation de Zoom Client for Meetings pour macOS antérieures à 5.12.6 contiennent une vulnérabilité entraînant l’élévation locale de privilèges. Un utilisateur local à faibles privilèges pourrait exploiter cette vulnérabilité pour disposer du maximum de privilèges.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Programme d’installation de Zoom Client for Meetings pour macOS (standard et pour administrateur d’informatique) avant la version 5.12.6

Source: Signalé par Koh M. Nakagawa (tsunekoh)

ZSB-22027 11/15/2022 Injection de DLL dans les clients Zoom pour Windows Critique CVE-2022-28766

Gravité: Critique

Score CVSS: 8.1

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L

Description: Les versions 32 bits de Zoom Client for Meetings antérieures à 5.12.6 et de Zoom Rooms pour salles de conférence antérieures à 5.12.6 sont susceptibles de contenir une vulnérabilité liée à l’injection de DLL. Un utilisateur local à faibles privilèges pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire dans le contexte du client Zoom.

Les utilisateurs peuvent garantir leur sécurité en appliquant les mises à jour actuelles ou en téléchargeant le dernier logiciel Zoom avec toutes les mises à jour de sécurité actuelles depuis https://zoom.us/download

Produits concernés:

  • Zoom Client for Meetings pour Windows (32 bits) avant la version 5.12.6
  • Client Zoom VDI Windows Meeting (32 bits) antérieur à 5.12.6
  • Zoom Rooms pour salles de conférence pour Windows (32 bits) antérieur à la version 5.12.6

Source: Signalé par sim0nsecurity

ZSB-22025 11/10/2022 Exposition des informations locales dans les clients Zoom Critique CVE-2022-28764

Gravité: Critique

Score CVSS: 3.3

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Description: Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) avant la version 5.12.6 est susceptible de contenir une vulnérabilité d’exposition des informations locales.

L’échec de l’effacement des données d’une base de données SQL locale à la fin d’une réunion et l’utilisation d’une clé par appareil insuffisamment sécurisée chiffrant cette base de données permettent à un utilisateur local malveillant d’obtenir des informations de réunion (par exemple, le chat en réunion pour la réunion précédente à laquelle vous avez assisté à partir du compte d’utilisateur local).

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • La version de Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) avant la version 5.12.6
  • Zoom Client for Meetings pour VDI Windows avant la version 5.12.6
  • Zoom Rooms pour salles de conférence (pour Android, iOS, Linux, macOS et Windows) avant la version 5.12.6

Source: Signalé par Christian Zäske (SySS GmbH)

ZSB-22024 10/24/2022 Analyse incorrecte des URL dans les clients Zoom Critique CVE-2022-28763

Gravité: Critique

Score CVSS: 8.8

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Description: Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) avant la version 5.12.2 est susceptible de contenir une vulnérabilité d’analyse d’URL. Si une URL de réunion Zoom malveillante est ouverte, le lien malveillant peut diriger l’utilisateur vers une adresse réseau arbitraire, conduisant à des attaques supplémentaires, y compris des prises de contrôle de session.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • La version de Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) avant la version 5.12.2
  • Zoom Client for Meetings pour VDI Windows avant la version 5.12.2
  • Zoom Rooms pour salles de conférence (pour Android, iOS, Linux, macOS et Windows) avant la version 5.12.2

Source: Signalé par l’Équipe de sécurité de Zoom

ZSB-22023 10/11/2022 Mauvaise configuration du port de débogage de Zoom Apps dans Zoom Client for Meetings pour macOS Critique CVE-2022-28762

Gravité: Critique

Score CVSS: 7.3

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

Description: Zoom Client for Meetings pour macOS (version Standard et celle destinée aux administrateurs informatiques), à partir de la version 5.10.6 et avant la version 5.12.0, contient une mauvaise configuration du port de débogage. Lorsque le contexte de rendu en mode caméra est activé dans le cadre de l’API Zoom App Layers via l’exécution de certaines applications Zoom, un port de débogage local est ouvert par le client Zoom. Un utilisateur local malveillant peut alors utiliser ce port pour se connecter aux applications Zoom s’exécutant dans le client Zoom et les contrôler.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Zoom Client for Meetings pour macOS (version Standard et celle destinée aux administrateurs informatiques), à partir de la version 5.10.6 et avant la version 5.12.0

Source: Signalé par l’Équipe de sécurité de Zoom

ZSB-22022 10/11/2022 Déploiements Zoom sur site : contrôle d’accès inapproprié Critique CVE-2022-28761

Gravité: Critique

Score CVSS: 6.5

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Description: Le connecteur de réunion Zoom sur site MMR avant la version 4.8.20220916.131 présente une vulnérabilité liée à un contrôle des accès inapproprié. De ce fait, une personne malveillante autorisée à rejoindre une réunion ou un webinaire peut empêcher les participants de capter l’audio et la vidéo, provoquant ainsi des perturbations lors de la réunion.

Pour les déploiements Zoom sur site, les administrateurs de compte peuvent vous aider à maintenir leur logiciel Zoom à jour en procédant comme suit : https://support.zoom.us/hc/en-us/articles/360043960031

Produits concernés:

  • Connecteur de réunion Zoom sur site MMR avant la version 4.8.20220916.131

Source: Signalé par l’Équipe de sécurité offensive Zoom

ZSB-22021 09/13/2022 Déploiements Zoom sur site : contrôle d’accès inapproprié Critique CVE-2022-28760

Gravité: Critique

Score CVSS: 6.5

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Description: Le connecteur de réunion Zoom sur site MMR avant la version 4.8.20220815.130 contient une vulnérabilité de contrôle d’accès inapproprié. Par conséquent, une personne malveillante peut participer à une réunion à laquelle elle est autorisée à participer sans apparaître aux autres participants.

Pour les déploiements Zoom sur site, les administrateurs de compte peuvent vous aider à maintenir leur logiciel Zoom à jour en procédant comme suit : https://support.zoom.us/hc/en-us/articles/360043960031

Produits concernés:

  • Connecteurs de réunion Zoom sur site MMR avant la version 4.8.20220815.130

Source: Signalé par l’Équipe de sécurité offensive Zoom

ZSB-22020 09/13/2022 Déploiements Zoom sur site : contrôle d’accès inapproprié Critique CVE-2022-28758
CVE-2022-28759

Gravité: Critique

Score CVSS: 8.2

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Description: Le connecteur de réunion Zoom sur site MMR avant la version 4.8.20220815.130 contient une vulnérabilité de contrôle d’accès inapproprié. Par conséquent, une personne malveillante pourrait obtenir le flux audio et vidéo d’une réunion à laquelle elle n’est pas autorisée à participer et perturber la réunion.

Pour les déploiements Zoom sur site, les administrateurs de compte peuvent vous aider à maintenir leur logiciel Zoom à jour en procédant comme suit : https://support.zoom.us/hc/en-us/articles/360043960031

Produits concernés:

  • Connecteurs de réunion Zoom sur site MMR avant la version 4.8.20220815.130

Source: Signalé par l’Équipe de sécurité de Zoom

ZSB-22019 08/17/2022 Élévation locale de privilèges dans le programme de mise à jour automatique pour Zoom Client for Meetings pour macOS Critique CVE-2022-28757

Gravité: Critique

Score CVSS: 8.8

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Zoom Client for Meetings pour macOS (Standard et pour administrateur de compte) à partir de la version 5.7.3 et antérieure à 5.11.6 présente une vulnérabilité dans le processus de mise à jour automatique. Un utilisateur local à faibles privilèges peut exploiter cette vulnérabilité pour élever ses privilèges à ceux d’un utilisateur racine.

Remarque : ce problème permet de contourner le correctif publié dans la version 5.11.5 pour traiter la CVE-2022-28756.

Les utilisateurs peuvent se protéger en appliquant les mises à jour actuelles ou en téléchargeant la dernière version du logiciel Zoom avec toutes les mises à jour de sécurité actuelles de https://zoom.us/download.

Produits concernés:

  • Zoom Client for Meetings pour MacOS (Standard et pour administrateur de compte) à partir de la version 5.7.3 et avant la version 5.11.6

Source: Signalé par Csaba Fitzl (theevilbit) de Offensive Security

ZSB-22018 08/13/2022 Élévation locale de privilèges dans le programme de mise à jour automatique pour les produits MacOS Zoom [Updated 2022-09-13] Critique CVE-2022-28756

Gravité: Critique

Score CVSS: 8.8

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Zoom Client for Meetings pour macOS (Standard et pour administrateur de compte) à partir de la version 5.7.3 et antérieure à 5.11.5 et Zoom Rooms pour salles de conférence pour macOS antérieur à la version 5.11.6 présentent une vulnérabilité dans le processus de mise à jour automatique. Un utilisateur local à faibles privilèges peut exploiter cette vulnérabilité pour élever ses privilèges à ceux d’un utilisateur racine.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

*Modifications - 13/09/2022 - Mise à jour du titre, de la description et ajout de Zoom Rooms à la section « Produits concernés ».

Produits concernés:

  • Zoom Client for Meetings pour MacOS (Standard et pour administrateur de compte) à partir de la version 5.7.3 et avant la version 5.11.5
  • Zoom Rooms pour salles de conférence pour macOS avant la version 5.11.6

Source: Signalé par Patrick Wardle de Objective-See

ZSB-22017 08/09/2022 Élévation locale de privilèges dans Zoom Client for Meetings pour macOS Critique CVE-2022-28751

Gravité: Critique

Score CVSS: 8.8

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Description: Le Zoom Client for Meetings pour macOS (Standard et pour administrateur de compte) avant la version 5.11.3 contient une vulnérabilité dans la validation de la signature du package lors du processus de mise à jour. Un utilisateur local à faibles privilèges peut exploiter cette vulnérabilité pour élever ses privilèges à ceux d’un utilisateur racine.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Zoom Client for Meetings pour MacOS (Standard et pour administrateur de compte) avant la version 5.11.3

Source: Signalé par Patrick Wardle de Objective-See

ZSB-22014 08/09/2022 Déploiements Zoom sur site : contrôle d’accès inapproprié Critique CVE-2022-28753
CVE-2022-28754

Gravité: Critique

Score CVSS: 7.1

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N

Description: Le connecteur de réunion Zoom sur site MMR avant la version 4.8.129.20220714 contient une vulnérabilité de contrôle d’accès inapproprié. Par conséquent, une personne malveillante peut rejoindre une réunion à laquelle elle est autorisée à participer sans apparaître aux autres participants, peut s’admettre dans la réunion depuis la salle d’attente, et peut devenir l’hôte et provoquer d’autres perturbations de la réunion.

Pour les déploiements Zoom sur site, les administrateurs de compte peuvent vous aider à maintenir leur logiciel Zoom à jour en procédant comme suit : https://support.zoom.us/hc/en-us/articles/360043960031

Produits concernés:

  • Connecteurs de réunion Zoom sur site MMR avant la version 4.8.129.20220714

Source: Signalé par l’Équipe de sécurité offensive Zoom

ZSB-22016 08/09/2022 Analyse incorrecte des URL dans les clients Zoom [Updated 2022-10-24] Critique CVE-2022-28755

Gravité: Critique

Score CVSS: 9.6

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Description: Le Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) avant la version 5.11.0 est susceptible d’être exposé à une vulnérabilité d’analyse d’URL. Si une URL de réunion Zoom malveillante est ouverte, le lien malveillant peut amener l’utilisateur à se connecter à une adresse réseau arbitraire. Cela peut entraîner des attaques supplémentaires, notamment l’exécution de code à distance via le lancement d’exécutables à partir de chemins arbitraires.

* Modifications - 24/10/2022 - Ajout de Zoom Rooms à la section « Produits concernés ».

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • La version de Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) avant la version 5.11.0

Source: Signalé par l’Équipe de sécurité offensive Zoom

ZSB-22012 08/09/2022 Déploiements Zoom sur site : débordement de la mémoire tampon de la pile dans le connecteur de réunion Critique CVE-2022-28750

Gravité: Critique

Score CVSS: 7.5

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Description: Le contrôleur de zone (ZC) du connecteur de réunion Zoom sur site avant la version 4.8.20220419.112 ne parvient pas à analyser correctement les codes d’erreur STUN, ce qui peut entraîner une corruption de la mémoire et permettre à une personne malveillante de faire planter l’application. Dans les versions antérieures à 4.8.12.20211115, cette vulnérabilité pourrait également être exploitée pour exécuter du code arbitraire.

Pour les déploiements Zoom sur site, les administrateurs de compte peuvent aider à maintenir leur logiciel Zoom à jour en suivant ces conseils :

https://support.zoom.us/hc/en-us/articles/360043960031

Produits concernés:

  • Contrôleur de zone (ZC) du connecteur de réunion sur site Zoom avant la version 4.8.20220419.112

Source: Signalé par l’Équipe de sécurité offensive Zoom

ZSB-22011 06/14/2022 Vérification insuffisante des autorisations lors de la participation à une réunion Critique CVE-2022-28749

Gravité: Critique

Score CVSS: 6.5

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Description: Le MMR du connecteur de réunion sur site de Zoom avant la version 4.8.113.20220526 ne vérifie pas correctement les autorisations d’un participant à une réunion Zoom. Par conséquent, un attaquant peut être admis à la réunion depuis la salle d’attente Zoom sans le consentement de l’hôte.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Connecteurs de réunion sur site avant la version 4.8.113.20220526

Source: Signalé par l’Équipe de sécurité offensive Zoom

ZSB- 22010 06/14/2022 Injection de DLL dans le programme d’installation de Zoom Opener pour les appareils Zoom et Zoom Rooms Critique CVE-2022-22788

Gravité: Critique

Score CVSS: 7.1

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

Description: Le programme d’installation de Zoom Opener est téléchargé par un utilisateur à partir de la page Lancer une réunion, lorsqu’il tente de participer à une réunion sans avoir installé Zoom Client for Meetings. Le programme d’installation de Zoom Opener pour Zoom Client for Meetings avant la version 5.10.3 et Zoom Rooms pour salles de conférence pour Windows avant la version 5.10.3 sont susceptibles d’être attaqués par injection de DLL. Cette vulnérabilité pourrait être utilisée pour exécuter un code arbitraire sur l’hôte de la victime.

Les utilisateurs peuvent se protéger de ce problème en supprimant les anciennes versions du programme d’installation de Zoom Opener et en exécutant la dernière version du programme d’installation de Zoom Opener à partir du bouton « Télécharger maintenant » sur la page « Lancer la réunion ». Les utilisateurs peuvent aussi se protéger de ce problème en téléchargeant le dernier logiciel Zoom avec toutes les mises à jour de sécurité actuelles depuis https://zoom.us/download.

Produits concernés:

  • Zoom Client for Meetings pour Windows avant la version 5.10.3
  • Toutes les versions Zoom Rooms pour salles de conférence pour Windows antérieures à la version 5.10.3

Source: Signalé par James Tsz Ko Yeung

ZSB-22009 05/17/2022 La validation du nom de l’hôte n’est pas suffisante lors d’un changement de serveur dans Zoom Client for Meetings Critique CVE-2022-22787

Gravité: Critique

Score CVSS: 5.9

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Description: La version de Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) antérieure à la version 5.10.0 ne parvient pas à valider correctement le nom de l’hôte au cours d’une demande de changement de serveur. Ce problème risque d’être exploité dans le cadre d’une attaque plus sophistiquée destinée à connecter le client d’un utilisateur sans méfiance à un serveur malveillant lorsque ce dernier tente d’utiliser les services Zoom.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • La version de Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) antérieure à la version 5.10.0

Source: Signalé par Ivan Fratric de Google Project Zero

ZSB-22008 05/17/2022 Mettre à jour la mise à niveau du package dans Zoom Client for Meetings pour Windows Critique CVE-2022-22786

Gravité: Critique

Score CVSS: 7.5

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Description: La version de Zoom Client for Meetings pour Windows antérieure à la version 5.10.0 et de Zoom Rooms pour salles de conférence pour Windows antérieure à la version 5.10.0 ne parvient pas à vérifier correctement la version d’installation pendant le processus de mise à jour. Ce problème pourrait être exploité dans le cadre d’une attaque plus sophistiquée pour inciter un utilisateur à rétrograder son client Zoom vers une version moins sécurisée.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Toutes les versions de Zoom Client for Meetings pour Windows antérieures à la version 5.10.0
  • Toutes les versions Zoom Rooms pour salles de conférence pour Windows antérieures à la version 5.10.0

Source: Signalé par Ivan Fratric de Google Project Zero

ZSB-22007 05/17/2022 Cookies de session mal définis dans Zoom Client for Meetings Critique CVE-2022-22785

Gravité: Critique

Score CVSS: 5.9

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Description: La version de Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) antérieure à la version 5.10.0 ne parvient pas à restreindre correctement les cookies de session client aux domaines Zoom. Ce problème pourrait être exploité dans le cadre d’une attaque plus sophistiquée pour envoyer les cookies de session Zoom d’un utilisateur à un domaine non-Zoom. Cela pourrait potentiellement permettre l’usurpation d’identité d’un utilisateur Zoom.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • La version de Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) antérieure à la version 5.10.0

Source: Signalé par Ivan Fratric de Google Project Zero

ZSB- 22006 05/17/2022 Analyse XML incorrecte dans Zoom Client for Meetings Critique CVE-2022-22784

Gravité: Critique

Score CVSS: 8.1

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Description: La version de Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) antérieure à la version 5.10.0 ne parvient pas à analyser correctement les blocs XML dans les messages XMPP. Cela peut permettre à un utilisateur malveillant de sortir du contexte de message XMPP actuel et de créer un nouveau contexte de message pour que le client de l’utilisateur récepteur effectue diverses actions. Ce problème pourrait être exploité dans le cadre d’une attaque plus sophistiquée pour falsifier des messages XMPP à partir du serveur.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • La version de Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) antérieure à la version 5.10.0

Source: Signalé par Ivan Fratric de Google Project Zero

ZSB- 22005 04/27/2022 Exposition de la mémoire du processus dans les services de réunions sur site de Zoom Critique CVE-2022-22783

Gravité: Critique

Score CVSS: 8.3

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/CR:H

Description: Une vulnérabilité dans la version 4.8.102.20220310 des Contrôleurs de connecteurs de réunion sur site Zoom et la version 4.8.102.20220310 des connecteurs de réunion sur site MMR expose des fragments de mémoire du processus aux clients connectés, susceptibles d’être observés par un attaquant passif.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles.

Produits concernés:

  • Contrôleurs de connecteurs de réunion sur site Zoom version 4.8.102.20220310
  • Connecteurs de réunion Zoom sur site MMR avant la version 4.8.102.20220310

Source: Équipe de sécurité offensive Zoom

ZSB-22004 04/27/2022 Élévation locale de privilèges dans les Clients Zoom pour Windows Critique CVE-2022-22782

Gravité: Critique

Score CVSS: 7.9

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

Description: Les versions Zoom Client for Meetings pour Windows antérieures à la version 5.9.7, les versions Zoom Rooms pour les salles de conférence pour Windows antérieures à la version 5.10.0, les plug-ins Zoom pour Microsoft Outlook pour Windows avant la version 5.10.3 et les versions Zoom Client for Meetings pour VDI Windows antérieures à la version 5.9.6 étaient sensibles à un problème d’élévation locale des privilèges pendant l’opération de réparation du programme d’installation. Une personne malveillante pouvait exploiter ce problème pour supprimer des fichiers ou des dossiers au niveau du système, ce qui entraînait des problèmes d’intégrité ou de disponibilité sur la machine hôte de l’utilisateur.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Toutes les versions Zoom Client for Meetings pour Windows antérieures à la version 5.9.7
  • Toutes les versions Zoom Rooms pour salles de conférence pour Windows antérieures à la version 5.10.0
  • Toutes les versions Plug-in Zoom pour Microsoft Outlook pour Windows antérieures à la version 5.10.3
  • Toutes les versions Zoom Client for Meetings pour VDI Windows antérieures à la version 5.9.6

Source: Signalé par Zero Day Initiative

ZSB-22003 04/27/2022 Mettre à jour la mise à niveau du package dans Zoom Client for Meetings pour macOS Critique CVE-2022-22781

Gravité: Critique

Score CVSS: 7.5

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Description: Les versions Zoom Client for Meetings pour macOS (Standard et pour administrateur de compte) antérieures à la version 5.9.6 ne pouvaient pas vérifier correctement la version du package pendant le processus de mise à jour. Une personne malveillante pouvait mettre à jour la version d’un utilisateur peu méfiant vers une version moins sécurisée.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Tous les Zoom Client for Meetings pour macOS (standard et pour administrateur de compte) antérieurs à la version 5.9.6

Source: Signalé par Patrick Wardle de Objective-See

ZSB-22002 02/08/2022 Zoom Team Chat sensible aux bombes de décompression Critique CVE-2022-22780

Gravité: Critique

Score CVSS: 4.7

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L

Description: Dans les versions de produit suivantes, la fonctionnalité de chat du Zoom Client for Meetings est exposée aux bombes de décompression : Android, version antérieure à la 5.8.6 ; iOS, version antérieure à la 5.9.0 ; Linux, version antérieure à la 5.8.6 ; macOS, version antérieure à la 5.7.3 ; et Windows, version antérieure à la 5.6.3. Cela pourrait entraîner des problèmes de disponibilité sur l’hôte du client en raison de l’épuisement des ressources du système.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Toutes les versions de Zoom Client for Meetings pour Android avant la version 5.8.6
  • Toutes les versions de Zoom Client for Meetings pour iOS avant la version 5.9.0
  • Toutes les versions de Zoom Client for Meetings pour Linux avant la version 5.8.6
  • Toutes les versions de Zoom Client for Meetings pour macOS avant la version 5.7.3
  • Toutes les versions de Zoom Client for Meetings pour Windows avant la version 5.6.3

Source: Signalé par Johnny Yu de Walmart Global Tech

ZSB-22001 02/08/2022 Messages éclatés conservés dans les clients Keybase pour macOS et Windows Critique CVE-2022-22779

Gravité: Critique

Score CVSS: 3.7

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Description: Les versions antérieures à la 5.9.0 des clients Keybase pour macOS et Windows ne suppriment pas correctement les messages éclatés à l’initiative d’un utilisateur. Cela peut se produire si l’utilisateur recevant les messages passe à une fonctionnalité hors chat et met l’hôte en veille avant que l’expéditeur éclate les messages. Ce problème pourrait entraîner la divulgation d’informations confidentielles qui auraient dû être supprimées du système de fichiers d’un utilisateur.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Keybase accompagnée de toutes les mises à jour de sécurité actuelles sur https://keybase.io/download.

Produits concernés:

  • Tous les clients Keybase pour macOS et Windows avant la version 5.9.0

Source: Signalé par Olivia O’Hara

ZSB-21022 12/14/2021 Exécution arbitraire de commandes dans le client Keybase pour Windows Critique CVE-2021-34426

Gravité: Critique

Score CVSS: 5.3

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

Description: Une vulnérabilité a été découverte dans les versions antérieures à 5.6.0 du client Keybase pour Windows lorsque l’utilisateur exécute la commande « keybase git lfs-config » dans la console. Dans les versions antérieures à 5.6.0, une personne malveillante disposant de privilèges d’écriture sur le référentiel Git d’un utilisateur pouvait exploiter cette vulnérabilité pour exécuter des commandes Windows arbitraires sur le système local de cet utilisateur.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Keybase accompagnée de toutes les mises à jour de sécurité actuelles sur https://keybase.io/download.

Produits concernés:

  • Tous les clients Keybase pour Windows avant la version 5.6.0

Source: Signalé par RyotaK

ZSB-21021 12/14/2021 Falsification de requête côté serveur dans le chat Zoom Client for Meetings Critique CVE-2021-34425

Gravité: Critique

Score CVSS: 4.7

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N

Description: Les versions antérieures à 5.7.3 du Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) contiennent une vulnérabilité de falsification de requête côté serveur dans la fonctionnalité « Aperçu du lien » du chat. Dans les versions antérieures à 5.7.3, lorsqu’un utilisateur activait la fonctionnalité « Aperçu du lien » dans le chat, une personne malveillante pouvait l’amener à envoyer des requêtes HTTP GET arbitraires à des URL auxquelles elle n’avait pas directement accès.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Toutes les versions de Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows) avant la version 5.7.3

Source: Signalé par Johnny Yu de Walmart Global Tech

ZSB-21020 11/24/2021 Exposition de la mémoire processus dans le client Zoom et d’autres produits Critique CVE-2021-34424

Gravité: Critique

Score CVSS: 5.3

Chaîne vectorielle CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Description: Une vulnérabilité a été découverte dans la liste de produits de la rubrique « Produits concernés » du présent bulletin. Celle-ci a potentiellement exposé l’état de la mémoire processus. Ce problème peut être exploité pour obtenir des informations sur des zones arbitraires de la mémoire du produit.

Zoom a corrigé ce problème dans les dernières versions des produits listés dans la rubrique ci-dessous. Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles.

Produits concernés:

  • Versions antérieures à 5.8.4 du Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows)
  • Zoom Client for Meetings pour Blackberry (pour Android et iOS) avant la version 5.8.1
  • Zoom Client for Meetings pour intune (pour Android et iOS) avant la version 5.8.4
  • Zoom Client for Meetings pour Chrome OS avant la version 5.0.1
  • Zoom Rooms pour salles de conférence (pour Android, AndroidBali, macOS et Windows) avant la version 5.8.3
  • Contrôleurs pour Zoom Rooms (pour Android, iOS et Windows) avant la version  5.8.3
  • Zoom Client for Meetings pour VDI Windows avant la version 5.8.4
  • Modules d’extension Zoom pour VDI Azure Virtual Desktop (pour Windows x86 ou x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) avant la version 5.8.4.21112
  • Modules d’extension Zoom pour VDI Citrix (pour Windows x86 ou x64, Mac Universal Installer et Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x64, Dell ThinOS) avant la version 5.8.4.21112
  • Modules d’extension Zoom pour VDI VMware (pour Windows x86 ou x64, Mac Universal Installer et Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x64, Dell ThinOS) avant la version 5.8.4.21112
  • Zoom Meeting SDK pour Android avant la version 5.7.6.1922
  • Zoom Meeting SDK pour iOS avant la version 5.7.6.1082
  • Zoom Meeting SDK pour Windows avant la version 5.7.6.1081
  • Zoom Meeting SDK pour Mac avant la version 5.7.6.1340
  • Zoom Video SDK (pour Android, iOS, macOS et Windows) avant la version 1.1.2
  • Connecteurs de réunion Zoom sur site avant la version 4.8.12.20211115
  • Connecteurs de réunion Zoom sur site MMR avant la version 4.8.12.20211115
  • Connecteurs d’enregistrement Zoom sur site avant la version 5.1.0.65.20211116
  • Connecteurs de salle virtuelle Zoom sur site avant la version 4.4.7266.20211117
  • Équilibreurs de charge des connecteurs de salle virtuelle Zoom sur site avant la version 2.5.5692.20211117
  • Zoom Hybrid Zproxy avant la version 1.0.1058.20211116
  • Zoom Hybrid MMR avant la version 4.6.20211116.131_x86-64

Source: Signalé par Natalie Silvanovich de Google Project Zero

ZSB-21019 11/24/2021 Débordement de la mémoire tampon dans le client Zoom et d’autres produits Critique CVE-2021-34423

Gravité: Critique

Score CVSS: 7.3

Chaîne vectorielle CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Description: Une vulnérabilité de débordement de la mémoire tampon a été découverte dans la liste des produits de la rubrique « Produits concernés » du présent bulletin. Celle-ci pourrait permettre à une personne malveillante de faire planter le service ou l’application ou encore d’exécuter un code arbitraire.

Zoom a corrigé ce problème dans les dernières versions des produits listés dans la rubrique ci-dessous. Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles.

Produits concernés:

  • Versions antérieures à 5.8.4 du Zoom Client for Meetings (pour Android, iOS, Linux, macOS et Windows)
  • Zoom Client for Meetings pour Blackberry (pour Android et iOS) avant la version 5.8.1
  • Zoom Client for Meetings pour intune (pour Android et iOS) avant la version 5.8.4
  • Zoom Client for Meetings pour Chrome OS avant la version 5.0.1
  • Zoom Rooms pour salles de conférence (pour Android, AndroidBali, macOS et Windows) avant la version 5.8.3
  • Contrôleurs pour Zoom Rooms (pour Android, iOS et Windows) avant la version  5.8.3
  • Zoom Client for Meetings pour VDI Windows avant la version 5.8.4
  • Modules d’extension Zoom pour VDI Azure Virtual Desktop (pour Windows x86 ou x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) avant la version 5.8.4.21112
  • Modules d’extension Zoom pour VDI Citrix (pour Windows x86 ou x64, Mac Universal Installer et Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x64, Dell ThinOS) avant la version 5.8.4.21112
  • Modules d’extension Zoom pour VDI VMware (pour Windows x86 ou x64, Mac Universal Installer et Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x64, Dell ThinOS) avant la version 5.8.4.21112
  • Zoom Meeting SDK pour Android avant la version 5.7.6.1922
  • Zoom Meeting SDK pour iOS avant la version 5.7.6.1082
  • Zoom Meeting SDK pour macOS avant la version 5.7.6.1340
  • Zoom Meeting SDK pour Windows avant la version 5.7.6.1081
  • Zoom Video SDK (pour Android, iOS, macOS et Windows) avant la version 1.1.2
  • Contrôleurs de connecteur de réunion Zoom sur site avant la version 4.8.12.20211115
  • Connecteurs de réunion Zoom sur site MMR avant la version 4.8.12.20211115
  • Connecteurs d’enregistrement Zoom sur site avant la version 5.1.0.65.20211116
  • Connecteurs de salle virtuelle Zoom sur site avant la version 4.4.7266.20211117
  • Équilibreurs de charge des connecteurs de salle virtuelle Zoom sur site avant la version 2.5.5692.20211117
  • Zoom Hybrid Zproxy avant la version 1.0.1058.20211116
  • Zoom Hybrid MMR avant la version 4.6.20211116.131_x86-64

Source: Source : Signalé par Natalie Silvanovich de Google Project Zero

ZSB-21018 11/09/2021 Traversée de chemins d’accès pour les noms de fichiers sur le client Keybase pour Windows Critique CVE-2021-34422

Gravité: Critique

Score CVSS: 7.2

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

Description: Les versions antérieures à 5.7.0 du client Keybase pour Windows contiennent une vulnérabilité au niveau de la traversée des chemins d’accès lors de la vérification du nom d’un fichier téléchargé sur un dossier partagé par une équipe. Une personne malveillante pourrait télécharger sur un dossier partagé un fichier dont le nom a été spécifiquement conçu pour qu’un utilisateur exécute involontairement une application sur sa machine hôte. Si un utilisateur malveillant venait à exploiter cette faille avec la fonctionnalité de partage de dossiers publics du client Keybase, cela pourrait lui permettre d’exécuter du code à distance.

Keybase a corrigé ce problème dans la version 5.7.0 du client Keybase pour Windows. Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Keybase accompagnée de toutes les mises à jour de sécurité actuelles sur https://keybase.io/download.

Produits concernés:

  • Tous les clients Keybase pour Windows avant la version 5.7.0

Source: Signalé par m4t35z

ZSB-21017 11/09/2021 Messages éclatés conservés dans les clients Keybase pour Android et iOS Critique CVE-2021-34421

Gravité: Critique

Score CVSS: 3.7

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Description: Les versions antérieures à 5.8.0 des clients Keybase pour Android et pour iOS ne suppriment pas correctement les messages éclatés par l’utilisateur si l’utilisateur recevant les messages met la session de chat en arrière-plan pendant que l’expéditeur éclate les messages. Ce processus peut entraîner la divulgation d’informations confidentielles qui auraient dû être supprimées de l’appareil du client.

Keybase a corrigé ce problème dans la version 5.8.0 du client Keybase pour Android et dans la version 5.8.0 du client Keybase pour iOS. Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Keybase accompagnée de toutes les mises à jour de sécurité actuelles sur https://keybase.io/download.

Produits concernés:

  • Tous les clients Keybase pour Android avant la version 5.8.0
  • Tous les clients Keybase pour iOS avant la version 5.8.0

Source: Signalé par Olivia O’Hara, John Jackson, Jackson Henry et Robert Willis

ZSB-21016 11/09/2021 Contournement de la signature de l’exécutable d’installation de Zoom pour Windows Critique CVE-2021-34420

Gravité: Critique

Score CVSS: 4.7

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N

Description: Les versions antérieures à 5.5.4 de l’installeur pour Windows de Zoom Client for Meetings ne vérifient pas correctement la signature des fichiers avec une extension .msi, .ps1 ou .bat. Une personne malveillante pourrait exploiter ceci et installer des logiciels malveillants sur l’ordinateur d’un client.

Zoom a corrigé ce problème dans la version 5.5.4 du Zoom Client for Meetings pour Windows. Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Toutes les versions de Zoom Client for Meetings pour Windows avant la version 5.5.4

Source: Signalé par Laurent Delosieres de ManoMano

ZSB-21015 11/09/2021 Injection HTML dans le client Zoom pour Linux Critique CVE-2021-34419

Gravité: Critique

Score CVSS: 3.7

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

Description: Les versions antérieures à 5.1.0 du Zoom Client for Meetings pour Linux Ubuntu contiennent une faille d’injection HTML qui intervient lors de l’envoi d’une demande de contrôle à distance à un utilisateur partageant son écran pendant une réunion. Les participants à cette réunion pourraient alors être exposés à du piratage psychologique.

Zoom a corrigé ce problème dans la version 5.1.0 du Zoom Client for Meetings pour Linux Ubuntu. Les utilisateurs peuvent garantir leur sécurité en appliquant les mises à jour actuelles ou en téléchargeant le dernier logiciel Zoom avec toutes les mises à jour de sécurité actuelles depuis https://zoom.us/download

Produits concernés:

  • Zoom Client for Meetings pour Linux Ubuntu avant la version 5.1.0

Source: Signalé par Danny de Weille et Rick Verdoes de hackdefense

ZSB-21014 11/09/2021 Plantage du pointeur Null de pré-authentification dans la console Web sur site Critique CVE-2021-34418

Gravité: Critique

Score CVSS: 4.0

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Description: Le service de connexion de la console Web des produits listés dans la rubrique « Produits concernés » du présent bulletin ne réussit pas à valider qu’un byte NULL a été envoyé au cours du processus d’authentification. Ceci pourrait entraîner un plantage du service de connexion.

Produits concernés:

  • Contrôleurs de connecteur de réunion Zoom sur site avant la version 4.6.239.20200613
  • Connecteurs de réunion Zoom sur site MMR avant la version 4.6.239.20200613
  • Connecteurs d’enregistrement Zoom sur site avant la version 3.8.42.20200905
  • Connecteurs de salle virtuelle Zoom sur site avant la version 4.4.6344.20200612
  • Équilibreurs de charge des connecteurs de salle virtuelle Zoom sur site avant la version 2.5.5492.20200616

Source: Signalé par Jeremy Brown

ZSB-21013 11/09/2021 Exécution de commandes à distance authentifiées avec privilèges racine via la console Web dans MMR Critique CVE-2021-34417

Gravité: Critique

Score CVSS: 7.9

Chaîne vectorielle CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N

Description: La page de proxy réseau du portail web des produits listés dans la rubrique « Produits concernés » du présent bulletin ne parvient pas à valider l’entrée envoyée dans les demandes de configuration du mot de passe du proxy réseau. Ceci pourrait permettre à un administrateur du web portal de réaliser une injection de commande à distance.

Produits concernés:

  • Contrôleurs de connecteur de réunion Zoom sur site avant la version 4.6.365.20210703
  • Connecteurs de réunion Zoom sur site MMR avant la version 4.6.365.20210703
  • Connecteurs d’enregistrement Zoom sur site avant la version 3.8.45.20210703
  • Connecteurs de salle virtuelle Zoom sur site avant la version 4.4.6868.20210703
  • Équilibreurs de charge des connecteurs de salle virtuelle Zoom sur site avant la version 2.5.5496.20210703

Source: Signalé par Jeremy Brown

ZSB-21012 09/30/2021 Exécution de code à distance sur des images sur site via web portal Critique CVE-2021-34416

Gravité: Critique

Score CVSS: 5.5

Chaîne vectorielle CVSS: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N

Description: Le web portal de configuration administrative de l’adresse réseau : du connecteur de réunion Zoom sur site de version antérieure à 4.6.360.20210325 ; du connecteur de réunion Zoom sur site MMR de version antérieure à 4.6.360.20210325 ; du connecteur d’enregistrement Zoom sur site de version antérieure à 3.8.44.20210326 ; du connecteur de salle virtuelle Zoom sur site de version antérieure à 4.4.6752.20210326 ; et de l’équilibreur de charge du connecteur de salle virtuelle Zoom sur site de version antérieure à 2.5.5495.20210326 ne réussit pas à valider l’entrée envoyée dans les demandes de mise à jour de la configuration du réseau. Ceci pourrait permettre à des administrateurs du web portal de réaliser une injection de commande à distance sur l’image sur site.

Produits concernés:

  • Connecteurs de réunion Zoom sur site avant la version 4.6.360.20210325
  • Connecteurs de réunion Zoom sur site MMR avant la version 4.6.360.20210325
  • Connecteurs d’enregistrement Zoom sur site avant la version 3.8.44.20210326
  • Connecteurs de salle virtuelle Zoom sur site avant la version 4.4.6752.20210326
  • Équilibreurs de charge des connecteurs de salle virtuelle Zoom sur site avant la version 2.5.5495.20210326

Source: Signalé par Egor Dimitrenko de Positive Technologies

ZSB-21011 09/30/2021 Plantage du contrôleur de zone utilisant un PDU qui provoque des allocations multiples Critique CVE-2021-34415

Gravité: Critique

Score CVSS: 7.5

Chaîne vectorielle CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Description: Le service de contrôleur de zone des versions antérieures à 4.6.358.20210205 du contrôleur de connecteur de réunion Zoom sur site ne réussit pas à vérifier le champ cnt envoyé dans les paquets réseau entrants, ce qui provoque un épuisement des ressources et un plantage du système.

Produits concernés:

  • Contrôleurs de connecteur de réunion Zoom sur site avant la version 4.6.358.20210205

Source: Signalé par Nikita Abramov de Positive Technologies

ZSB-21010 09/30/2021 Exécution de code à distance sur le serveur de connecteur de réunion via la configuration du proxy réseau sur le web portal Critique CVE-2021-34414

Gravité: Critique

Score CVSS: 7.2

Chaîne vectorielle CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Description: La page proxy du web portal : du contrôleur du connecteur de réunion Zoom sur site de version antérieure à 4.6.348.20201217 ; du connecteur de réunion Zoom sur site MMR de version antérieure à 4.6.348.20201217 ; du connecteur d’enregistrement Zoom sur site de version antérieure à 3.8.42.20200905 ; du connecteur de salle virtuelle Zoom sur site de version antérieure à 4.4.6620.20201110 ; et de l’équilibreur de charge du connecteur de salle virtuelle Zoom sur site de version antérieure à 2.5.5495.20210326 ne réussit pas à valider l’entrée envoyée par les demandes de mise à jour de la configuration du proxy réseau. Ceci pourrait permettre à un administrateur du web portal de réaliser une injection de commandes à distance sur l’image sur site.

Produits concernés:

  • Contrôleurs de connecteur de réunion Zoom sur site avant la version 4.6.348.20201217
  • Connecteurs de réunion Zoom sur site MMR avant la version 4.6.348.20201217
  • Connecteurs d’enregistrement Zoom sur site avant la version 3.8.42.20200905
  • Connecteurs de salle virtuelle Zoom sur site avant la version 4.4.6620.20201110
  • Équilibreurs de charge des connecteurs de salle virtuelle Zoom sur site avant la version 2.5.5495.20210326

Source: Signalé par Egor Dimitrenko de Positive Technologies

ZSB-21009 09/30/2021 Élévation locale de privilèges avec l’installeur du module d’extension Outlook pour Zoom pour macOS Critique CVE-2021-34413

Gravité: Critique

Score CVSS: 2.8

Chaîne vectorielle CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N

Description: Toutes les versions antérieures à 5.3.52553.0918 du module d’extension Zoom pour Microsoft Outlook sur macOS contiennent une vulnérabilité TOC/TOU (time-of-check to time-of-use) pendant le processus d’installation du module d’extension. Ceci pourrait permettre à un utilisateur standard d’écrire sa propre application malveillante dans le dossier du module d’extension et ainsi de permettre à celle-ci de s’exécuter dans un contexte avec privilèges.

Produits concernés:

  • Toutes les versions du module d’extension Zoom pour Microsoft Outlook pour macOS avant la version 5.3.52553.0918

Source: Signalé par la Red Team de Lockheed Martin

ZSB-21008 09/30/2021 Élévation locale de privilèges avec l’installeur de Zoom pour Windows Critique CVE-2021-34412

Gravité: Critique

Score CVSS: 4.4

Chaîne vectorielle CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Description: Sur toutes les versions antérieures à 5.4.0 du Zoom Client for Meetings pour Windows, il est possible de lancer Internet Explorer au cours du processus d’installation. Si l’installeur a été lancé avec des privilèges élevés, par exemple par SCCM, cela peut entraîner une élévation locale des privilèges.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Zoom Client for Meetings pour Windows avant la version 5.4.0

Source: Signalé par la Red Team de Lockheed Martin

ZSB-21007 09/30/2021 Élévation locale de privilèges avec l’installeur de Zoom Rooms Critique CVE-2021-34411

Gravité: Critique

Score CVSS: 4.4

Chaîne vectorielle CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Description: Sur les versions antérieures à 5.3.0 de Zoom Rooms pour salles de conférence pour Windows, il est possible de lancer Internet Explorer avec des privilèges élevés. Si l’installeur a été lancé avec des privilèges élevés, par exemple par SCCM, cela peut entraîner une élévation locale des privilèges.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Zoom Rooms pour salles de conférence pour Windows avant la version 5.3.0
  • Zoom Rooms pour salles de conférence avant la version 5.1.0

Source: Signalé par la Red Team de Lockheed Martin

ZSB-21004 09/30/2021 Autorisation d’écriture élevée avec l’installeur Zoom MSI grâce à une jonction Critique CVE-2021-34408

Gravité: Critique

Score CVSS: 7.0

Chaîne vectorielle CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Description: Sur les versions antérieures à 5.3.2 du Zoom Client for Meetings pour Windows, un répertoire avec autorisation d’écriture pour l’utilisateur créé pendant l’installation pourrait être redirigé vers un autre emplacement au moyen d’une jonction. Ceci permettrait à un attaquant d’écraser des fichiers qu’un utilisateur avec peu de privilèges ne serait normalement pas en mesure de modifier.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Zoom Client for Meetings pour Windows avant la version 5.3.2

Source: Signalé par la Red Team de Lockheed Martin

ZSB-21003 09/30/2021 Contournement de la signature numérique de l’installeur de Zoom pour Windows Critique CVE-2021-33907

Gravité: Critique

Score CVSS: 7.0

Chaîne vectorielle CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H/MPR:N/MUI:R/MS:U/MC:H/MI:H/MA:H

Description: Aucune version antérieure à 5.3.0 du Zoom Client for Meetings pour Windows ne réussit à valider correctement les informations utilisées pour la signature des fichiers .msi lorsqu’une mise à jour du client est réalisée. Ceci pourrait permettre l’exécution de code à distance avec des privilèges élevés.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Toutes les versions de Zoom Client for Meetings pour Windows avant la version 5.3.0

Source: Signalé par la Red Team de Lockheed Martin

ZSB-21002 08/13/2021 Dépassement de tas causé par une écriture non vérifiée dans un tampon statique à partir d’un message XMPP Critique CVE-2021-30480

Gravité: Critique

Score CVSS: 8.1

Chaîne vectorielle CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H

Description: Un dépassement de tas, qui est un type de dépassement tampon, existe dans toutes les versions desktop de Zoom Client for Meetings antérieures à la version 5.6.3. Cette constatation a été signalée à Zoom dans le cadre du Pwn20wn Vancouver 2021. La chaîne d’attaque démontrée lors du Pwn20wn a été atténuée par un changement côté serveur dans l’infrastructure de Zoom le 09/04/2021.

En le combinant avec deux autres problèmes signalés lors du Pwn20wn (validation d’URL incorrecte lors de l’envoi d’un message XMPP pour accéder à une URL d’application Zoom Marketplace et validation d’URL incorrecte lors de l’affichage d’une image GIPHY), un utilisateur malveillant peut exécuter du code à distance sur l’ordinateur d’une cible.
La cible doit avoir préalablement accepté une demande de connexion de l’utilisateur malveillant ou être dans une conversation multi-utilisateur avec l’utilisateur malveillant pour que cette attaque ait lieu. La chaîne d’attaque démontrée lors du Pwn20wn peut être très visible pour les cibles, ce qui entraîne plusieurs notifications client.

Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Toutes les versions desktop de Zoom Client for Meetings antérieures à la version 5.6.3

Source: Signalé par Daan Keuper et Thijs Alkemade de Computest via la Zero Day Initiative

ZSB-21001 03/26/2021 Fonctionnalité de partage d’écran de la fenêtre d’application Critique CVE-2021-28133

Gravité: Critique

Score CVSS: 5.7

Chaîne vectorielle CVSS: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

Description: Une vulnérabilité affectait la fonctionnalité de partage d’écran du client Zoom pour Windows et Linux lors du partage de fenêtres d’application individuelles. Des contenus d’écran que les utilisateurs n’avaient pas choisi de partager pouvaient être visibles par d’autres participants, lorsque la personne qui partageait son écran réduisait, agrandissait ou fermait une autre fenêtre.

Zoom a introduit plusieurs nouvelles mesures d’atténuation des risques liés à la sécurité dans la version 5.6 du client Zoom pour Windows. Ces mesures réduisent la probabilité que ce problème ne se produise pour les utilisateurs de Windows. Nous élaborons actuellement des mesures supplémentaires pour résoudre ce problème sur toutes les plateformes concernées.

Zoom a également corrigé ce problème pour les utilisateurs d’Ubuntu le 1er mars 2021 avec la version 5.5.4 du client Zoom pour Linux. Les utilisateurs peuvent installer les dernières mises à jour ou télécharger la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Toutes les versions de client Zoom pour Windows
  • Versions du client Zoom pour Linux avant la version 5.5.4 pour Ubuntu
  • Toutes les versions du client Zoom pour Linux sous d’autres distributions prises en charge

Source: Découverte par Michael Stramez et Matthias Deeg.

ZSB-20002 08/14/2020 DLL Windows dans le service de partage Zoom Critique CVE-2020-9767

Gravité: Critique

Score CVSS: 7.8

Chaîne vectorielle CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Description: Une vulnérabilité liée au chargement de la bibliothèque de liens dynamiques (« DLL ») dans le service de partage Zoom peut permettre à un utilisateur Windows local d’élever ses privilèges à ceux d’un utilisateur NT AUTHORITY/SYSTEM.

Cette vulnérabilité est causée par des vérifications de signature insuffisantes des DLL chargées dynamiquement lors du chargement d’un fichier exécutable signé. Un attaquant pourrait exploiter cette vulnérabilité en injectant une DLL malveillante dans un fichier exécutable signé Zoom et en l’utilisant pour lancer des processus avec des autorisations élevées.

Zoom a corrigé ce problème dans la version 5.0.4 du client. Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Les versions de l’installateur Zoom pour Windows (ZoomInstallerFull.msi) antérieures à 5.0.4

Source: Connor Scott de Context Information Security

ZSB-20001 05/04/2020 Installateur informatique Zoom pour Windows Critique CVE-2020-11443

Gravité: Critique

Score CVSS: Base : 8.4

Chaîne vectorielle CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

Description: Une vulnérabilité dans la façon dont l’installateur Zoom pour Windows gère les jonctions lors de la suppression de fichiers peut permettre à un utilisateur Windows local de supprimer des fichiers qu’il n’est normalement pas en mesure de supprimer.

Cette vulnérabilité est causée par une vérification insuffisante des jonctions dans le répertoire à partir duquel l’installateur supprime les fichiers, qui est modifiable par les utilisateurs standard. Un utilisateur local malveillant pourrait exploiter cette vulnérabilité en créant une jonction dans le répertoire affecté qui renvoie vers des fichiers système protégés ou d’autres fichiers pour lesquels l’utilisateur ne dispose pas d’autorisations. Lors de l’exécution de l’installateur Zoom pour Windows avec des autorisations élevées, comme c’est le cas lorsqu’il est exécuté par le biais d’un logiciel de déploiement géré, ces fichiers seraient supprimés du système.

Zoom a corrigé ce problème dans la version 4.6.10 du client Zoom. Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Les versions de l’installateur Zoom pour Windows (ZoomInstallerFull.msi) antérieures à 4.6.10

Source: Merci à la Red Team de Lockheed Martin.

ZSB-19003 07/12/2019 ZoomOpener Daemon Critique CVE-2019-13567

Gravité: Critique

Score CVSS: Base : 7.5

Chaîne vectorielle CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Description: Une vulnérabilité dans le client Zoom pour macOS pourrait permettre à un attaquant de télécharger des logiciels malveillants sur l’appareil d’une victime.

Cette vulnérabilité est causée par une validation incorrecte des entrées et des logiciels téléchargés dans l’application d’aide ZoomOpener. Un attaquant pourrait exploiter cette vulnérabilité pour demander à l’appareil d’une victime de télécharger des fichiers en son nom. L’exploit n’est possible que si la cible a désinstallé le client Zoom.

Zoom a corrigé ce problème dans la version 4.4.52595.0425 du client. Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Client Zoom macOS avant la version 4.4.52595.0425 et après la version 4.1.27507.0627

Source: Inconnue.

ZSB-19002 07/09/2019 Paramètre vidéo par défaut Critique CVE-2019-13450

Gravité: Critique

Score CVSS: Base : 3.1

Chaîne vectorielle CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

Description: Une vulnérabilité dans les clients RingCentral et Zoom pour macOS pourrait permettre à un attaquant non authentifié de forcer à distance un utilisateur à participer à un appel vidéo avec la caméra vidéo active.

Cette vulnérabilité est causée par des contrôles d’autorisation insuffisants, nécessaires pour vérifier les systèmes pouvant communiquer avec le serveur Web Zoom local exécuté sur le port 19421. Un attaquant pourrait exploiter cette vulnérabilité en créant un site Web malveillant qui amène le client Zoom à participer automatiquement à une réunion planifiée par l’attaquant.

Zoom a implémenté une nouvelle boîte de dialogue Aperçu vidéo que l’utilisateur voit avant de participer à une réunion dans la version 4.4.5 du client, publiée le 14 juillet 2019. Cette boîte de dialogue permet à l’utilisateur de rejoindre la réunion avec ou sans vidéo activée et demande à l’utilisateur de définir le paramètre par défaut souhaité pour la vidéo. Zoom recommande aux clients d’installer la dernière version de Zoom disponible sur https://zoom.us/download.

Produits concernés:

  • Client Zoom sous macOS avant la version 4.4.5
  • Client RingCentral sous macOS avant la version 4.4.5

Source: Découverte par Jonathan Leitschuh.

ZSB-19001 07/09/2019 Attaque par déni de service – macOS Critique CVE-2019-13449

Gravité: Critique

Score CVSS: Base : 3.1

Chaîne vectorielle CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Description: Une vulnérabilité dans Client Zoom sous macOS pourrait permettre à un attaquant non authentifié de déclencher à distance une condition de déni de service sur le système d’une victime.

Cette vulnérabilité est causée par des contrôles d’autorisation insuffisants, nécessaires pour vérifier les systèmes pouvant communiquer avec le serveur Web Zoom local exécuté sur le port 19421. Un attaquant pourrait exploiter cette vulnérabilité en créant un site Web malveillant qui amène le client Zoom à essayer à plusieurs reprises de participer à une réunion avec un ID de réunion non valide. La boucle sans fin rend le client Zoom inopérant et peut avoir un impact sur les performances du système sur lequel il s’exécute.

Zoom a corrigé ce problème dans la version 4.4.2-hotfix du client sous macOS publiée le 28 avril 2019. Les utilisateurs peuvent se protéger de ce problème en installant les dernières mises à jour ou en téléchargeant la dernière version du logiciel Zoom accompagnée de toutes les mises à jour de sécurité actuelles sur https://zoom.us/download.

Produits concernés:

  • Client Zoom sous macOS avant la version 4.4.5
  • Client RingCentral sous macOS avant la version 4.4.5

Source: Découverte par Jonathan Leitschuh.

No results found

Indiquez votre adresse e-mail individuelle pour recevoir des notifications concernant les prochains bulletins de sécurité Zoom. (Remarque : Les alias d’adresse e-mail ne recevront pas ces notifications.)