Popüler video konferans yazılımı Zoom’un masaüstü ve mobil uygulamalarında ayrıcalık artışına izin verebilecek güvenlik sorunları var.
Saldırgan bu güvenlik açığından yararlanarak uygulama veya işletim sistemi içinde yükseltilmiş ayrıcalıklar elde edebilir.
Ayrıcalık yükseltme saldırısı, belirli bir hesaba, kullanıcıya veya cihaza tahsis edilenlerden daha yüksek haklara, izinlere, ayrıcalıklara veya yetkilere yetkisiz erişim elde etme girişimidir. Bu, bir sistem hatası, yanlış yapılandırma veya yetersiz erişim kontrollerinin bir sonucu olarak ortaya çıkabilir.
Zoom Mobil Uygulama Kusurları
CVSS derecesi 4,9 olan kriptografik sorunlar, CVE-2023-43583 olarak takip edilen orta önemdeki güvenlik açıklarıdır.
Sürüm 5.16.0’dan önce, Android ve iOS için Zoom SDK’ları, Android için Zoom Mobil Uygulaması ve iOS için Zoom Mobil Uygulaması, ayrıcalıklı bir kullanıcının ağ erişimi yoluyla bilgileri ifşa etmesine izin verebilirdi.
Bu, CVSS derecesi 7,1 olan CVE-2023-43585 olarak takip edilen yüksek önem derecesine sahip bir kusurdur.
Sürüm 5.16.5’ten önce, iOS için Zoom Mobil Uygulaması ve iOS için Zoom SDK’ları, kimliği doğrulanmış bir kullanıcının ağ erişimi yoluyla bilgileri ifşa etmesine olanak tanıyan uygunsuz erişim kontrolüne sahip olabilir.
Zoom Masaüstü İstemcisi Kusurları
CVSS derecesi 7,3 olan bu yüksek önemdeki hatanın CVE-2023-43586 olduğu belirlendi.
Yetkili bir kullanıcı, yol geçişini kullanarak Windows için Zoom Masaüstü İstemcisi, Windows için Zoom VDI İstemcisi ve Windows için Zoom SDK’larında ağ erişimi yoluyla ayrıcalık yükseltme işlemini gerçekleştirebilir.
CVSS derecesi 7,3 olan bu hata, Yüksek önem derecesi olarak sınıflandırılır ve CVE-2023-36540 olarak izlenir.
Windows için Zoom Masaüstü İstemcisi sürüm 5.14.5’ten önce, kimliği doğrulanmış bir kullanıcı, yükleyicide güvenilmeyen bir arama yolu kullanarak yerel erişim aracılığıyla ayrıcalık artışını etkinleştirebiliyordu.
CVE-2023-36541 – Veri Orijinalliğinin Yetersiz Doğrulanması
CVSS derecesi 8 olan bu hata, Yüksek önem derecesi olarak sınıflandırılır ve CVE-2023-36541 olarak izlenir.
Windows için Zoom Masaüstü İstemcisi sürüm 5.14.5’ten önce, yetersiz veri kimlik doğrulaması mevcuttu ve bu durum, kimliği doğrulanmış bir kullanıcı için ağ erişimi yoluyla ayrıcalık artışına olanak tanıyabiliyordu.
9,3 CVSS derecesine sahip bu kritik önem derecesine sahip kusur, CVE-2023-36534 olarak listelenmiştir.
Windows için Zoom Masaüstü İstemcisi sürüm 5.14.7’den önce, yol geçişi, yetkisiz bir kullanıcı için ağ erişimi yoluyla ayrıcalık artışına olanak tanıyordu.
CVE-2023-39216 – Uygunsuz Giriş Doğrulaması
CVE-2023-39216 olarak tanımlanan bu güvenlik açığı kritik önem derecesine ve 9,6 CVSS derecesine sahiptir.
Windows için Zoom Masaüstü İstemcisi sürüm 5.14.7’den önce, hatalı giriş doğrulaması, yetkisiz bir kullanıcı için ağ erişimi yoluyla ayrıcalıkların yükseltilmesine olanak tanıyordu.
CVE-2023-39213 – Özel Elementlerin Uygunsuz Nötrleştirilmesi
CVE-2023-39213 olarak tanımlanan bu güvenlik açığı kritik önem derecesine ve 9,6 CVSS derecesine sahiptir.
Kimliği doğrulanmamış bir kullanıcı, Windows için Zoom Masaüstü İstemcisi ve Zoom VDI İstemcisi’ndeki özel öğelerin uygunsuz şekilde nötrleştirilmesi nedeniyle ağ erişimi yoluyla ayrıcalık artışını etkinleştirebilir.
Bu nedenle kullanıcıların, tüm güvenlik güncellemeleri dahil olmak üzere en son güncellemeleri yükleyerek veya Zoom yazılımının en son sürümünü alarak güvenliklerini korumaları isteniyor.