Zoom закриває вразливість підвищення привілеїв у клієнтах до версії 5.16.0

Zoom повідомив про проблему improper authorization у частині своїх клієнтів. Якщо пояснити простіше, йдеться про ситуацію, коли користувач із чинним доступом потенційно може отримати функції або дані, які не відповідають його ролі. У корпоративних продуктах така помилка особливо неприємна, бо ролі й права доступу є фундаментом безпеки.

У Zoom є кілька рівнів ролей. Owner має найширші права, Admin може керувати користувачами й налаштуваннями акаунта, а Members мають найменший рівень доступу й працюють переважно зі своїм профілем. Якщо механізм авторизації помиляється, межа між цими ролями може стати слабшою, ніж очікує адміністратор.

Підвищення привілеїв небезпечне не тим, що відкриває систему всім одразу, а тим, що дозволяє вже авторизованому користувачу вийти за межі дозволеного.

За бюлетенем Zoom, improper authorization у деяких клієнтах може дозволити authorized user виконати escalation of privilege через network access. Тобто атакувальник або внутрішній користувач спочатку має бути авторизований у мережі, а вже потім може спробувати підняти рівень привілеїв. Саме тому вразливість отримала середній рівень критичності — 5.5 із 10.

• 📌 Проблема стосується клієнтів Zoom до версії 5.16.0.
• 📌 Ризик пов'язаний із неправильною авторизацією та можливим підвищенням привілеїв.
• 📌 Для експлуатації потрібен певний авторизований доступ до мережі.
• 📌 Найкраща дія для користувачів і компаній — негайно оновити Zoom.

Список зачеплених продуктів широкий: Zoom Desktop Client для Windows, macOS і Linux, мобільні застосунки для iOS та Android, Zoom Rooms для різних платформ, Zoom VDI Client і Zoom Meeting SDK. Загальна межа проста: версії до 5.16.0 потребують оновлення, з окремими винятками для VDI 5.14.13 і 5.15.11.

Для контент-менеджерів, редакцій, маркетингових команд і власників сайтів ця історія має практичний бік. Якщо команда щодня проводить дзвінки з клієнтами, підрядниками або доступом до внутрішніх матеріалів, застарілий клієнт відеозв'язку стає частиною поверхні атаки. Оновлення Zoom — це така сама робоча задача, як оновлення CMS, плагінів або паролів 🚀

Zoom рекомендує встановити актуальні оновлення або завантажити останню версію з офіційної сторінки. Я б додав до цього ще кілька кроків: перевірити політики автоматичного оновлення, нагадати команді не відкладати апдейти, переглянути ролі користувачів в акаунті та прибрати зайві адмінські права там, де вони не потрібні.

FAQ

Що сталося з Zoom?

Zoom опублікував бюлетень безпеки про improper authorization у деяких клієнтах, що могло дозволити авторизованому користувачу підвищити свої привілеї.

Що означає privilege escalation?

Це ситуація, коли користувач отримує більше прав, ніж йому дозволено. Наприклад, учасник або звичайний користувач може спробувати виконати дії, доступні вищим ролям.

Які версії Zoom зачеплені?

У бюлетені згадуються клієнти Zoom до версії 5.16.0 для Windows, macOS, Linux, iOS, Android, Zoom Rooms, VDI та Meeting SDK, з окремими винятками для VDI.

Наскільки це критично?

Оцінка вразливості — середня, 5.5 із 10. Ризик зменшується тим, що користувач має бути авторизований у мережі, але оновлення все одно потрібно встановити швидко.

Що робити зараз?

Оновити Zoom до актуальної версії з офіційного сайту або через вбудований механізм оновлень, а також перевірити ролі користувачів і політики доступу в організації.