Sono state rilevate nuove vulnerabilità all’interno della piattaforma di videoconferenza Zoom, con una di esse classificata con gravità “critica” e l’altra con gravità “alta”. Queste vulnerabilità potrebbero comportare un’escalation dei privilegi, mettendo a rischio la sicurezza degli utenti.
I prodotti e le versioni interessati riguardano:
Zoom
- Desktop Client for Windows, versioni precedenti alla 5.17.0
- VDI Client for Windows, versioni precedenti alla 5.17.5 (ad esclusione di alcune versioni per le quali si rimanda ai bollettini nella sezione Riferimenti del CSIRT Italia)
- Meeting SDK for Windows, versioni precedenti alla 5.17.0
- Rooms Client for Windows, versioni precedenti alla 5.17.0
Gli identificatori univoci delle vulnerabilità sono CVE-2024-24691 e CVE-2024-24697.
Per mitigare i rischi associati a queste vulnerabilità, il CSIRT Italia raccomanda, in linea con le dichiarazioni del vendor, di applicare le azioni di mitigazione disponibili, seguendo le indicazioni riportate nel bollettino di sicurezza al link nella sezione Riferimenti all’interno del sito web del CSIRT.
https://www.csirt.gov.it/contenuti/vulnerabilita-zoom-al04-240213-csirt-ita