La société de messagerie vidéo Zoom a corrigé une vulnérabilité très grave, identifiée comme CVE-2022-28762, dans Zoom Client for Meetings pour macOS.
Le client Zoom pour réunions pour macOS (Standard et pour administrateur informatique) est affecté par une mauvaise configuration du port de débogage. Le problème, suivi comme CVE-2022-28762, a reçu un score de gravité CVSS de 7,3. Lorsque le contexte de rendu du mode caméra est activé dans le cadre de l’API Zoom App Layers en exécutant des applications Zoom spécifiques, un port de débogage local est ouvert par le client. Un utilisateur local malveillant peut exploiter le port de débogage pour se connecter et contrôler les applications exécutées dans le client Zoom.
Les versions concernées sont comprises entre 5.10.6 et 5.12.0 (exclues).
“Zoom Client for Meetings pour macOS (Standard et pour administrateur informatique) à partir de 5.10.6 et antérieur à 5.12.0 contient une mauvaise configuration du port de débogage. Lorsque le contexte de rendu du mode caméra est activé dans le cadre de l’API Zoom App Layers en exécutant certaines applications Zoom, un port de débogage local est ouvert par le client Zoom. lit le consultatif publié par la société. “Un utilisateur malveillant local pourrait utiliser ce port de débogage pour se connecter et contrôler les applications Zoom exécutées dans le client Zoom.”
La vulnérabilité a été découverte par l’équipe de sécurité interne de l’entreprise dans le cadre d’une évaluation de routine.
La société a également résolu un problème de gravité moyenne, suivi comme CVE-2022-28761 (score CVSS 6,5), qui affecte le routeur multimédia du connecteur de réunion Zoom sur site (MMR).
“Zoom On-Premise Meeting Connector MMR avant la version 4.8.20220916.131 contient une vulnérabilité de contrôle d’accès inapproprié. Par conséquent, un acteur malveillant dans une réunion ou un webinaire auquel il est autorisé à participer pourrait empêcher les participants de recevoir l’audio et la vidéo, ce qui perturberait la réunion. lit l’avis.
Suis moi sur Twitter: @affairesdesecurite et Facebook
(Affaires de sécurité – piratage, CVE-2022-28762)
Partager sur
