Zoom: Netzwerkangriffe auf kritische Sicherheitslücke möglich

In der Videokonferenzsoftware Zoom wurden mehrere Sicherheitslücken entdeckt. Sie gelten zum Teil als kritisch und erlauben unter anderem Angreifern aus dem Netz, ihre Rechte auszuweiten. Updates stehen bereit.

Eine Lücke betrifft die Mail-Funktion von Zoom Workplace für Windows, die aufgrund externer Kontrolle eines Dateinamens oder -pfads Angreifern aus dem Netz ohne vorherige Authentifizierung die Ausweitung ihrer Rechte ermöglicht (CVE-2026-30903, CVSS 9.6, Risiko „kritisch“). Unzureichendes Rechtemanagement in einigen Zoom-Clients für Windows ermöglicht angemeldeten Nutzern, ihre lokalen Zugriffsrechte auszuweiten (CVE-2026-30902, CVSS 7.8, Risiko „hoch“). Dasselbe kann aufgrund einer unzureichenden Prüfung auf eine Mindestversion in der Update-Funktion in Zoom-Clients für Windows passieren (CVE-2026-30900, CVSS 7.8, Risiko „hoch“).

Zoom: Vier Sicherheitslücken, hochriskant bis kritisch

Eine vierte Sicherheitslücke ermöglicht authentifizierten Angreifern mit lokalem Zugriff die Ausweitung der Rechte aufgrund unzureichender Überprüfung in Zoom Rooms für Windows im Kiosk-Modus (CVE-2026-30901, CVSS 7.0, Risiko „hoch“). Genauere Details zu den Schwachstellen nennt Zoom nicht.

Die sicherheitsrelevanten Fehler haben die Entwickler in den Versionen Zoom Workplace für Windows 6.6.11, Zoom Workplace VDI Client für Windows 6.4.17, 6.5.15 und 6.6.10, Zoom Meeting SDK for Windows 6.6.11 sowie Zoom Rooms für Windows 6.6.5 und neueren korrigiert. Die jüngsten Fassungen finden sich im Download-Portal auf der Zoom-Webseite. Aber auch der Aufruf von winget upgrade --all an der Eingabeaufforderung sollte die bereitstehenden Zoom-Updates (und weitere) in Windows finden, sie herunterladen und installieren.

Ende Januar mussten die Zoom-Entwickler Sicherheitslücken in den Zoom-Node-Servern schließen. Die hätten Angreifer als Ansatzpunkt für Schadcode-Angriffe missbrauchen können.

(dmk)