Zoom a corrigé un ensemble de 7 vulnérabilités dans ses applications pour Windows, et l'une d'elles mérite une attention particulière : CVE-2024-24691. En effet, en l'exploitant, un attaquant non authentifié peut élever ses privilèges. Faisons le point.

En quelques années, Zoom est devenu une solution de visioconférence très populaire, au même titre que Microsoft Teams, Google Meet, etc. L'équipe de sécurité offensive de Zoom a fait la découverte d'une nouvelle vulnérabilité critique : la CVE-2024-24691, associée à un score CVSS v3.1 de 9.6 sur 10. Un bulletin de sécurité a été mis en ligne pour cette vulnérabilité.

Elle affecte plusieurs applications Windows proposées par Zoom : Zoom Desktop Client, Zoom VDI Client, Zoom Rooms Client, Zoom Meeting SDK.

Même si peu de détails sont fournis, nous savons qu'elle s'exploite à distance par l'intermédiaire du réseau, qu'elle est relativement facile à exploiter dans une attaque, et qu'elle nécessite une interaction de la part de l'utilisateur. Dans le cas présent, il pourrait s'agir de convaincre la victime d'ouvrir une pièce jointe malveillante ou de cliquer sur un lien malveillant.

Comment se protéger ?

Il faut savoir que cette vulnérabilité affecte de nombreuses versions des produits Zoom.

Voici la liste des versions affectées et vulnérables :

• Zoom Desktop Client pour Windows versions antérieures à 5.16.5
• Zoom VDI Client pour Windows versions antérieures à 5.16.10 (sauf versions 5.14.14 et 5.15.12)
• Zoom Rooms Client pour Windows versions antérieures à 5.17.0
• Zoom Meeting SDK pour Windows versions antérieures à 5.16.5

Pour vous protéger, vous devez utiliser l'une des versions mentionnées ci-dessus : 5.16.5, 5.16.10, 5.17.0, en fonction du produit.

D'autres vulnérabilités corrigées par Zoom

Sachez que Zoom a également mis en ligne des bulletins de sécurité pour 6 autres failles de sécurité. Il ne s'agit pas de faille de sécurité critique, même s'il y en a une qui est associé à un niveau de criticité élevé. Voici les références CVE et les produits affectés :

• CVE-2024-24690 - Zoom Clients - Improper Input Validation
• CVE-2024-24699 - Zoom Clients - Business Logic Error
• CVE-2024-24698 - Zoom Clients - Improper Authentication
• CVE-2024-24697 - Zoom Clients - Untrusted Search Path
• CVE-2024-24696 - Zoom Desktop Client for Windows, Zoom VDI Client for Windows, and Zoom Meeting SDK for Windows - Improper Input Validation
• CVE-2024-24695 - Zoom Desktop Client for Windows, Zoom VDI Client for Windows, and Zoom Meeting SDK for Windows - Improper Input Validation

Vous pouvez retrouver toutes les informations en parcourant cette page.

Mettez à jour dès que possible pour vous protéger.

Source

The post Zoom a corrigé une faille de sécurité critique (CVE-2024-24691) dans ses applications Windows ! first appeared on IT-Connect.