Phát hiện lỗ hổng nghiêm trọng cao trong phần mềm họp trực tuyến Zoom

[tuantran]

CVE-2023-49647 là một lỗ hổng leo thang đặc quyền nghiêm trọng, có xếp hạng CVSS 8,8/10 đã được phát hiện trong một số sản phẩm Zoom, bao gồm: máy khách để bàn cho Windows, máy khách VDI cho Windows, SDK Video và SDK cuộc họp cho Windows, cụ thể là trong các phiên bản trước 5.16.10.

​

CVE-2023-49647​

Mấu chốt của lỗ hổng này nằm ở việc kiểm soát truy cập không đúng cách. Nó cho phép người dùng được xác thực nâng cao đặc quyền thông qua quyền truy cập cục bộ, có khả năng dẫn đến các hành động và quyền truy cập trái phép trong hệ thống. Lỗ hổng này có thể bị khai thác để giành được các quyền nâng cao, gây ra mối đe dọa nghiêm trọng đối với tính bảo mật và tính toàn vẹn của các phiên Zoom và dữ liệu người dùng.

• Các sản phẩm bị ảnh hưởng bởi CVE-2023-49647 bao gồm:
• Zoom Desktop Client cho Windows (trước phiên bản 5.16.10)
• VDI Client cho Windows (trước phiên bản 5.16.10, không bao gồm 5.14.14 và 5.15.12)
• Zoom Video SDK cho Windows (trước phiên bản 5.16.10)
• Zoom Meet SDK cho Windows (trước phiên bản 5.16.10)

Hiện, Zoom đã giải quyết lỗ hổng này trong các phiên bản mới nhất của mình. Người dùng và tổ chức sử dụng Zoom cần ngay lập tức cập nhật phần mềm của để bảo vệ hệ thống trước lỗ hổng. Các bản cập nhật đã được đăng tải trên trang web chính thức của Zoom.

Nguồn: Security Online​