Tanınmış bir video konferans yazılımı olan Zoom, masaüstü ve mobil uygulamalarında, özellikle de Windows yazılımını etkileyen CVE-2024-24691 olarak tanımlanan kritik bir kusur olmak üzere yedi güvenlik açığını yamaladı.
Özellikle Windows yazılımını etkileyen yüksek önemdeki ayrıcalık artışı sorunu da şirket tarafından düzeltildi ve CVE-2024-24697 olarak atandı.
Ayrıcalık yükseltme saldırısı, belirli bir hesaba, kullanıcıya veya cihaza tahsis edilenlerden daha yüksek haklara, izinlere, ayrıcalıklara veya yetkilere yetkisiz erişim elde etme girişimidir. Bu, bir sistem hatası, yanlış yapılandırma veya yetersiz erişim kontrollerinin bir sonucu olarak ortaya çıkabilir.
Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.
Yerinizi Ayırın
CVE-2024-24691- Uygunsuz Giriş Doğrulaması
CVSS Puanı 9,6 olan bu kritik önemdeki kusur, yetkisiz bir kullanıcının Zoom Masaüstü İstemcisi, Zoom VDI İstemcisi ve Windows için Zoom Meeting SDK’sındaki hatalı giriş doğrulaması nedeniyle ağ erişimi yoluyla ayrıcalık yükseltme işlemi gerçekleştirmesine olanak tanıyabilir.
Etkilenen Ürünler:
- Windows için Zoom Masaüstü İstemcisi 5.16.5 sürümünden önce
- 5.16.10 sürümünden önceki Windows için Zoom VDI İstemcisi (5.14.14 ve 5.15.12 hariç)
- Windows için Zoom Rooms İstemcisi 5.17.0 sürümünden önce
- Windows için Zoom Meeting SDK’sı 5.16.5 sürümünden önce
CVE-2024-24697 – Güvenilmeyen Arama Yolu
Bazı Zoom 32-bit Windows istemcilerindeki güvenilmeyen bir arama yolu, yetkili bir kullanıcının yerel erişim ayrıcalığını yükseltmesine olanak tanıyan CVSS puanı 7,2 olan yüksek önem derecesine sahip bir güvenlik açığıdır.
Etkilenen Ürünler:
- Sürüm 5.17.0’dan önce Windows için Zoom Masaüstü İstemcisi
- 5.17.5 sürümünden önceki Windows için Zoom VDI İstemcisi (5.15.15 ve 5.16.12 hariç)
- Sürüm 5.17.0’dan önce Windows için Zoom Meeting SDK’sı
- Windows için Zoom Rooms İstemcisi 5.17.0 sürümünden önce
Zoom ayrıca aşağıdakiler de dahil olmak üzere diğer önemli sorunları da ele aldı:
- CVE-2024-24690 – Zoom İstemcilerinde Yanlış Giriş Doğrulaması
- CVE-2024-24699 – Zoom İstemcilerinde İş Mantığı Hatası
- CVE-2024-24698 – Zoom İstemcilerinde Yanlış Kimlik Doğrulaması
- CVE-2024-24696– Zoom Masaüstü İstemcisi, Zoom VDI İstemcisi ve Windows için Zoom Meeting SDK’sında Yanlış Giriş Doğrulaması
- CVE-2024-24695 – Zoom Masaüstü İstemcisi, Zoom VDI İstemcisi ve Windows için Zoom Meeting SDK’sında Yanlış Giriş Doğrulaması
Zoom, bu güvenlik açıklarından herhangi birinin kötü niyetli saldırılarda kullanıldığını açıklamıyor. Bu nedenle şirket, kullanıcılara uygulamalarını mümkün olan en kısa sürede mevcut en yeni sürümlere güncellemelerini tavsiye ediyor.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.