Die Sicherheitsforscher Natalie Silvanovich, die für Googles Project Zero arbeitet, hat Details zu mehren Sicherheitslücken im Videokonferenz-Tool Zoom veröffentlicht, die inzwischen gepatcht wurden. Ihr zufolge war es unter anderem möglich, virtuelle Meetings ohne Ende-zu-Ende-Verschlüsselung abzuhören.
Silvanovich fand insgesamt zwei Anfälligkeiten: einen Pufferüberlauf im Zoom-Client und im Zoom Multimedia Router (MMR) sowie einen weiteren Fehler in MMR-Servern, der zur Offenlegung vertraulicher Daten führen kann. Zudem stellte sie fest, dass Zoom die Sicherheitsfunktion Adress Space Layout Randomization (ASLR) nicht unterstützt, mit der sich Angriffe auf Speicherfehler verhindern lassen.
“ASLR ist wohl die wichtigste Schutzmaßnahme, um die Ausnutzung von Speicherfehlern zu verhindern, und die meisten anderen Schutzmaßnahmen sind in gewissem Maße davon abhängig, um wirksam zu sein”, so Silvanovich. “Es gibt keinen guten Grund, warum es in der überwiegenden Mehrheit der Software deaktiviert sein sollte.”
Die Anfälligkeiten wurden am 24. November gemeldet und von Zoom gepatcht. Silvanovich zufolge hat Zoom inzwischen auch ASLR in seiner Software aktiviert.
Die Forscherin weist darauf hin, dass das von Zoom verwendete geschlossene System sowie das Fehlen von Open-Source-Komponenten wie WebRTC das Auffinden von Sicherheitslücken erschwert. Das Project-Zero-Team habe zudem fast 1500 Dollar für Zoom-Lizenzen ausgegeben, um die Fehler zu finden – Ausgaben, die unabhängige Sicherheitsforscher nicht aufbringen könnten.
“Diese Hindernisse für die Sicherheitsforschung bedeuten wahrscheinlich, dass Zoom nicht so oft untersucht wird, wie es sein könnte, was dazu führen kann, dass einfache Fehler unentdeckt bleiben”, sagte Silvanovich. “Closed-Source-Software stellt besondere Sicherheitsanforderungen, und Zoom könnte mehr tun, um seine Plattform für Sicherheitsforscher und andere, die sie evaluieren möchten, zugänglich zu machen.”
Seit November versorgt Zoom seine Desktop-Clients für Windows und macOS mit automatischen Updates. Zuvor war diese Funktion Enterprise-Kunden vorbehalten.
Alternativen zu Zoom finden Sie hier: https://www.silicon.de/41692368/41692368
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…
Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.
Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…