Die Sicherheitsforscher Natalie Silvanovich, die für Googles Project Zero arbeitet, hat Details zu mehren Sicherheitslücken im Videokonferenz-Tool Zoom veröffentlicht, die inzwischen gepatcht wurden. Ihr zufolge war es unter anderem möglich, virtuelle Meetings ohne Ende-zu-Ende-Verschlüsselung abzuhören.
Silvanovich fand insgesamt zwei Anfälligkeiten: einen Pufferüberlauf im Zoom-Client und im Zoom Multimedia Router (MMR) sowie einen weiteren Fehler in MMR-Servern, der zur Offenlegung vertraulicher Daten führen kann. Zudem stellte sie fest, dass Zoom die Sicherheitsfunktion Adress Space Layout Randomization (ASLR) nicht unterstützt, mit der sich Angriffe auf Speicherfehler verhindern lassen.
“ASLR ist wohl die wichtigste Schutzmaßnahme, um die Ausnutzung von Speicherfehlern zu verhindern, und die meisten anderen Schutzmaßnahmen sind in gewissem Maße davon abhängig, um wirksam zu sein”, so Silvanovich. “Es gibt keinen guten Grund, warum es in der überwiegenden Mehrheit der Software deaktiviert sein sollte.”
Die Anfälligkeiten wurden am 24. November gemeldet und von Zoom gepatcht. Silvanovich zufolge hat Zoom inzwischen auch ASLR in seiner Software aktiviert.
Die Forscherin weist darauf hin, dass das von Zoom verwendete geschlossene System sowie das Fehlen von Open-Source-Komponenten wie WebRTC das Auffinden von Sicherheitslücken erschwert. Das Project-Zero-Team habe zudem fast 1500 Dollar für Zoom-Lizenzen ausgegeben, um die Fehler zu finden – Ausgaben, die unabhängige Sicherheitsforscher nicht aufbringen könnten.
“Diese Hindernisse für die Sicherheitsforschung bedeuten wahrscheinlich, dass Zoom nicht so oft untersucht wird, wie es sein könnte, was dazu führen kann, dass einfache Fehler unentdeckt bleiben”, sagte Silvanovich. “Closed-Source-Software stellt besondere Sicherheitsanforderungen, und Zoom könnte mehr tun, um seine Plattform für Sicherheitsforscher und andere, die sie evaluieren möchten, zugänglich zu machen.”
Seit November versorgt Zoom seine Desktop-Clients für Windows und macOS mit automatischen Updates. Zuvor war diese Funktion Enterprise-Kunden vorbehalten.
Alternativen zu Zoom finden Sie hier: https://www.silicon.de/41692368/41692368
Laut ESET-Forschern hat sich die Gruppe RansomHub innerhalb kürzester Zeit zur dominierenden Kraft unter den…
Damit hängt die hiesige Wirtschaft beim Einsatz der Technologie zwar nicht zurück, ist jedoch auch…
Bitdefender-Labs-Analyse der ersten digitalen Erpressung von RedCurl zeigt, dass Angreifer lange unentdeckt bleiben wollen und…
Backup-Systeme haben in der Vergangenheit eine Art Versicherung gegen Angriffe geboten, doch Hacker versuchen nun,…
Forschende des Karlsruher Institut für Technologie (KIT) entwickeln erstes nationales Vorhersagemodell für kleine Flüsse.
Im Schnitt werden zum Schutz privater Geräte 5,10 Euro im Monat ausgegeben. Viele verzichten selbst…
