Баги скрывались в корпоративной Zoom Rooms.
Давайте быстро рассмотрим каждую из исправленных уязвимостей:
-
CVE-2022-36930 (имеет оценку 8.2 по шкале CVSS) – локальный пользователь без прав администратора может использовать эту уязвимость в установщике Zoom Rooms для Windows, чтобы получить привилегии уровня SYSTEM;
-
CVE-2022-36929 (имеет оценку 7.8 по шкале CVSS) – локальный пользователь без прав администратора может использовать эту уязвимость в клиенте Zoom Rooms для Windows, чтобы получить привилегии уровня SYSTEM. Уязвимость затрагивает все версии клиента Rooms для Windows до версии 5.12.7.
-
CVE-2022-36926 (имеет оценку 8.8 по шкале CVSS) – эта уязвимость, как и все предыдущие, позволяет локальному пользователю без прав администратора повысить свои привилегии до уровня root. Только затрагивает она клиенты Zoom Rooms для MacOS до версии 5.11.3.
CVE-2022-36930 (имеет оценку 8.2 по шкале CVSS) – локальный пользователь без прав администратора может использовать эту уязвимость в установщике Zoom Rooms для Windows, чтобы получить привилегии уровня SYSTEM;
CVE-2022-36929 (имеет оценку 7.8 по шкале CVSS) – локальный пользователь без прав администратора может использовать эту уязвимость в клиенте Zoom Rooms для Windows, чтобы получить привилегии уровня SYSTEM. Уязвимость затрагивает все версии клиента Rooms для Windows до версии 5.12.7.
CVE-2022-36926 (имеет оценку 8.8 по шкале CVSS) – эта уязвимость, как и все предыдущие, позволяет локальному пользователю без прав администратора повысить свои привилегии до уровня root. Только затрагивает она клиенты Zoom Rooms для MacOS до версии 5.11.3.
Помимо вышеперечисленных брешей в защите, Zoom исправила две менее серьезные уязвимости. Первая ( CVE-2022-36925 ) затрагивает все версии клиентов для MacOS до версии 5.11.4 и связана с небезопасным механизмом генерации ключей, а вторая ( CVE-2022-36928 ) является уязвимостью обхода пути для приложения Zoom на Android.
Источник: securitylab