Zoom schließt von Google Project Zero entdeckte Sicherheitslücken

Die Sicherheitsforscher Natalie Silvanovich, die für Googles Project Zero arbeitet, hat Details zu mehren Sicherheitslücken im Videokonferenz-Tool Zoom veröffentlicht, die inzwischen gepatcht wurden. Ihr zufolge war es unter anderem möglich, virtuelle Meetings ohne Ende-zu-Ende-Verschlüsselung abzuhören.

Silvanovich fand insgesamt zwei Anfälligkeiten: einen Pufferüberlauf im Zoom-Client und im Zoom Multimedia Router (MMR) sowie einen weiteren Fehler in MMR-Servern, der zur Offenlegung vertraulicher Daten führen kann. Zudem stellte sie fest, dass Zoom die Sicherheitsfunktion Adress Space Layout Randomization (ASLR) nicht unterstützt, mit der sich Angriffe auf Speicherfehler verhindern lassen.

“ASLR ist wohl die wichtigste Schutzmaßnahme, um die Ausnutzung von Speicherfehlern zu verhindern, und die meisten anderen Schutzmaßnahmen sind in gewissem Maße davon abhängig, um wirksam zu sein”, so Silvanovich. “Es gibt keinen guten Grund, warum es in der überwiegenden Mehrheit der Software deaktiviert sein sollte.”

Die Anfälligkeiten wurden am 24. November gemeldet und von Zoom gepatcht. Silvanovich zufolge hat Zoom inzwischen auch ASLR in seiner Software aktiviert.

Die Forscherin weist darauf hin, dass das von Zoom verwendete geschlossene System sowie das Fehlen von Open-Source-Komponenten wie WebRTC das Auffinden von Sicherheitslücken erschwert. Das Project-Zero-Team habe zudem fast 1500 Dollar für Zoom-Lizenzen ausgegeben, um die Fehler zu finden – Ausgaben, die unabhängige Sicherheitsforscher nicht aufbringen könnten.

“Diese Hindernisse für die Sicherheitsforschung bedeuten wahrscheinlich, dass Zoom nicht so oft untersucht wird, wie es sein könnte, was dazu führen kann, dass einfache Fehler unentdeckt bleiben”, sagte Silvanovich. “Closed-Source-Software stellt besondere Sicherheitsanforderungen, und Zoom könnte mehr tun, um seine Plattform für Sicherheitsforscher und andere, die sie evaluieren möchten, zugänglich zu machen.”

Seit November versorgt Zoom seine Desktop-Clients für Windows und macOS mit automatischen Updates. Zuvor war diese Funktion Enterprise-Kunden vorbehalten.

Alternativen zu Zoom finden Sie hier: https://www.silicon.de/41692368/41692368

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Vernetztes Fahren: Bereitschaft zum Teilen von Daten gering

Deloitte-Studie äußert jedoch Verständnis für die Zurückhaltung der Kunden. Nutzen der Angebote sei hierzulande kaum…

23 Stunden ago

Plattenspiegelung ist keine Backup-Recovery-Strategie

Die Ziele einer Festplattenspiegelung und eines Backups sind unterschiedlich, sagt Sven Richter von Arcserve.

1 Tag ago

Chaos bei der Umsetzung von NIS-2 droht

Das Damoklesschwert NIS-2 kann daher schneller wirksam werden, als manchem lieb ist, warnt Bernhard Kretschmer…

1 Tag ago

Wie ein digitaler Zwilling die Effizienz im Rechenzentrum steigert

Rechenzentrumsbetreiber müssen einen ganzheitlichen Blick über die gesamte Infrastruktur haben, sagt Matthias Gromann von FNT…

2 Tagen ago

Softwareentwickler nutzen KI-gestützte Code-Assistenten

Laut Gartner werden bis 2028 75 Prozent der Softwareentwickler in Unternehmen KI-gestützte Code-Assistenten verwenden.

2 Tagen ago

Organisationsstruktur beeinflusst Cybersicherheit

Auf Basis einer Umfrage untersucht Sophos drei Organisationsszenarien und beurteilt deren Wirkung auf Cybercrime-Abwehr.

3 Tagen ago