Zoom : deux vulnérabilités du logiciel de visioconférence expose des utilisateurs à des attaques

Les chercheurs en sécurité de Google Project Zero ont découvert deux vulnérabilités dans le logiciel de visioconférence Zoom qui exposent les utilisateurs à des attaques. Les vulnérabilités ont un impact sur Zoom Client for Meetings sur Windows, macOS, Linux, iOS et Android.

Les problèmes du logiciel de visioconférence Zoom ont été découverts par la chercheuse de Google Project Zero, Natalie Silvanovich. 

La première faille, identifiée comme CVE-2021-34423, est une vulnérabilité de débordement de tampon de haute gravité qui a reçu un score de base CVSS de 7,3.

" Une vulnérabilité de dépassement de mémoire tampon a été découverte dans les produits répertoriés dans la section « Produits concernés » de ce bulletin. Cela peut potentiellement permettre à un acteur malveillant de planter le service ou l'application, ou d'exploiter cette vulnérabilité pour exécuter du code arbitraire." peut-on lire dans l'avis de sécurité publié par Zoom.

La deuxième vulnérabilité corrigée par la société est un problème de corruption de mémoire, identifié comme CVE-2021-34424, qui a reçu un score de base CVSS de 7,3.

" Une vulnérabilité a été découverte dans les produits répertoriés dans la section « Produits concernés » de ce bulletin, ce qui a potentiellement permis l'exposition de l'état de la mémoire du processus. Ce problème pourrait être utilisé pour potentiellement avoir un aperçu des zones arbitraires de la mémoire du produit." lit-t-on dans l'avis.

Vous trouverez ci-dessous la liste des produits Zoom concernés :

  • Zoom Client for Meetings (for Android, iOS, Linux, macOS, and Windows) before version 5.8.4
  • Zoom Client for Meetings for Blackberry (for Android and iOS) before version 5.8.1
  • Zoom Client for Meetings for intune (for Android and iOS) before version 5.8.4
  • Zoom Client for Meetings for Chrome OS before version 5.0.1
  • Zoom Rooms for Conference Room (for Android, AndroidBali, macOS, and Windows) before version 5.8.3
  • Controllers for Zoom Rooms (for Android, iOS, and Windows) before version 5.8.3
  • Zoom VDI before version 5.8.4
  • Zoom Meeting SDK for Android before version 5.7.6.1922
  • Zoom Meeting SDK for iOS before version 5.7.6.1082
  • Zoom Meeting SDK for macOS before version 5.7.6.1340
  • Zoom Meeting SDK for Windows before version 5.7.6.1081
  • Zoom Video SDK (for Android, iOS, macOS, and Windows) before version 1.1.2
  • Zoom On-Premise Meeting Connector Controller before version 4.8.12.20211115
  • Zoom On-Premise Meeting Connector MMR before version 4.8.12.20211115
  • Zoom On-Premise Recording Connector before version 5.1.0.65.20211116
  • Zoom On-Premise Virtual Room Connector before version 4.4.7266.20211117
  • Zoom On-Premise Virtual Room Connector Load Balancer before version 2.5.5692.20211117
  • Zoom Hybrid Zproxy before version 1.0.1058.20211116
  • Zoom Hybrid MMR before version 4.6.20211116.131_x86-64