Die Sicherheitsforscher Natalie Silvanovich, die für Googles Project Zero arbeitet, hat Details zu mehren Sicherheitslücken im Videokonferenz-Tool Zoom veröffentlicht, die inzwischen gepatcht wurden. Ihr zufolge war es unter anderem möglich, virtuelle Meetings ohne Ende-zu-Ende-Verschlüsselung abzuhören.
Silvanovich fand insgesamt zwei Anfälligkeiten: einen Pufferüberlauf im Zoom-Client und im Zoom Multimedia Router (MMR) sowie einen weiteren Fehler in MMR-Servern, der zur Offenlegung vertraulicher Daten führen kann. Zudem stellte sie fest, dass Zoom die Sicherheitsfunktion Adress Space Layout Randomization (ASLR) nicht unterstützt, mit der sich Angriffe auf Speicherfehler verhindern lassen.
“ASLR ist wohl die wichtigste Schutzmaßnahme, um die Ausnutzung von Speicherfehlern zu verhindern, und die meisten anderen Schutzmaßnahmen sind in gewissem Maße davon abhängig, um wirksam zu sein”, so Silvanovich. “Es gibt keinen guten Grund, warum es in der überwiegenden Mehrheit der Software deaktiviert sein sollte.”
Die Anfälligkeiten wurden am 24. November gemeldet und von Zoom gepatcht. Silvanovich zufolge hat Zoom inzwischen auch ASLR in seiner Software aktiviert.
Die Forscherin weist darauf hin, dass das von Zoom verwendete geschlossene System sowie das Fehlen von Open-Source-Komponenten wie WebRTC das Auffinden von Sicherheitslücken erschwert. Das Project-Zero-Team habe zudem fast 1500 Dollar für Zoom-Lizenzen ausgegeben, um die Fehler zu finden – Ausgaben, die unabhängige Sicherheitsforscher nicht aufbringen könnten.
“Diese Hindernisse für die Sicherheitsforschung bedeuten wahrscheinlich, dass Zoom nicht so oft untersucht wird, wie es sein könnte, was dazu führen kann, dass einfache Fehler unentdeckt bleiben”, sagte Silvanovich. “Closed-Source-Software stellt besondere Sicherheitsanforderungen, und Zoom könnte mehr tun, um seine Plattform für Sicherheitsforscher und andere, die sie evaluieren möchten, zugänglich zu machen.”
Seit November versorgt Zoom seine Desktop-Clients für Windows und macOS mit automatischen Updates. Zuvor war diese Funktion Enterprise-Kunden vorbehalten.
Alternativen zu Zoom finden Sie hier: https://www.silicon.de/41692368/41692368
Obwohl das Thema Nachhaltigkeit bereits in neun von zehn Unternehmen einen hohen Stellenwert hat, verschiebt…
Einheitliche Steuerung von Zehntausenden Lieferantenverträgen in der Cloud.
Küchenequipment-Hersteller RATIONAL nutzt die API von ChatGPT für Callcenter-Entlastung.
Eine Untersuchung des Cyber-Security-Anbieters Imperva warnt davor, dass automatisierte Bedrohungen ein wachsendes Risiko für Unternehmen darstellen.
Prognosen und Expertenempfehlungen von Palo Alto zur Verbesserung der Sicherheitsstrategie von Unternehmen.
Warum nicht vom allgemeinen Kundenbeziehungsmodell zu einem individuellen Beziehungsmodell übergehen, fragt Gastautor Jean-Denis Garo von…