Zoom schließt von Google Project Zero entdeckte Sicherheitslücken

Die Sicherheitsforscher Natalie Silvanovich, die für Googles Project Zero arbeitet, hat Details zu mehren Sicherheitslücken im Videokonferenz-Tool Zoom veröffentlicht, die inzwischen gepatcht wurden. Ihr zufolge war es unter anderem möglich, virtuelle Meetings ohne Ende-zu-Ende-Verschlüsselung abzuhören.

Silvanovich fand insgesamt zwei Anfälligkeiten: einen Pufferüberlauf im Zoom-Client und im Zoom Multimedia Router (MMR) sowie einen weiteren Fehler in MMR-Servern, der zur Offenlegung vertraulicher Daten führen kann. Zudem stellte sie fest, dass Zoom die Sicherheitsfunktion Adress Space Layout Randomization (ASLR) nicht unterstützt, mit der sich Angriffe auf Speicherfehler verhindern lassen.

“ASLR ist wohl die wichtigste Schutzmaßnahme, um die Ausnutzung von Speicherfehlern zu verhindern, und die meisten anderen Schutzmaßnahmen sind in gewissem Maße davon abhängig, um wirksam zu sein”, so Silvanovich. “Es gibt keinen guten Grund, warum es in der überwiegenden Mehrheit der Software deaktiviert sein sollte.”

Die Anfälligkeiten wurden am 24. November gemeldet und von Zoom gepatcht. Silvanovich zufolge hat Zoom inzwischen auch ASLR in seiner Software aktiviert.

Die Forscherin weist darauf hin, dass das von Zoom verwendete geschlossene System sowie das Fehlen von Open-Source-Komponenten wie WebRTC das Auffinden von Sicherheitslücken erschwert. Das Project-Zero-Team habe zudem fast 1500 Dollar für Zoom-Lizenzen ausgegeben, um die Fehler zu finden – Ausgaben, die unabhängige Sicherheitsforscher nicht aufbringen könnten.

“Diese Hindernisse für die Sicherheitsforschung bedeuten wahrscheinlich, dass Zoom nicht so oft untersucht wird, wie es sein könnte, was dazu führen kann, dass einfache Fehler unentdeckt bleiben”, sagte Silvanovich. “Closed-Source-Software stellt besondere Sicherheitsanforderungen, und Zoom könnte mehr tun, um seine Plattform für Sicherheitsforscher und andere, die sie evaluieren möchten, zugänglich zu machen.”

Seit November versorgt Zoom seine Desktop-Clients für Windows und macOS mit automatischen Updates. Zuvor war diese Funktion Enterprise-Kunden vorbehalten.

Alternativen zu Zoom finden Sie hier: https://www.silicon.de/41692368/41692368

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Remote Access Trojaner über gefälschte Webseite der BW-Landesregierung

PowerShell-RAT nimmt Personen ins Visier, die Informationen über die aktuelle Lage in der Ukraine suchen.

6 Stunden ago

Angespannte Risikolage verunsichert deutsche Unternehmen stark

Zahl der "Cyber-Experten" in Deutschland sinkt um 17 Prozentpunkte auf 3 Prozent. Ein Viertel des…

6 Stunden ago

Zyxel schließt schwer- wiegende Lücke in VPN- und Firewall-Produkten

Sie erlaubt eine Remotecodeausführung. Eine vorherige Authentifizierung ist nicht erforderlich. Zyxel veröffentlicht seinen Patch stillschweigend.

11 Stunden ago

Wissen, was in intelligenten Produktionsanlagen drin steckt

IT-Experten fordern eine Bill of Materials (SBOM) für Gerätesoftware.

12 Stunden ago

Cyber-Versicherungen: Nachfrage übersteigt Angebot

Wer sich an den Sicherheitsvorgaben der Cyber-Versicherer orientiert, kann als Unternehmen sein Cyber-Risiko noch abdecken,…

12 Stunden ago

Nicht-IT-Beschäftigte sind erhebliches Risiko für Unternehmen

Laut IT-Führungskräften sind nicht-technische Mitarbeiter schlecht auf einen Cyberangriff vorbereitet.

13 Stunden ago