Other official information and services: www.belgium.be

Vulnérabilité dans Zoom

Référence:

Advisory #2019-018

Version:

1.0

Logiciels concernés :

Zoom pour MacOs

Type:

DDOS, Accès non autorisé

CVE/CVSS:

CVE-2019-13449
CVE-2019-13450

Date:

10/07/2019

Sources

https://blog.zoom.us/wordpress/2019/07/08/response-to-video-on-concern/

https://medium.com/bugbountywriteup/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5

Risques

Une vulnérabilité découverte dans le client Zoom pour Mac permet à un site web spécifiquement conçu d’activer votre camera sans votre permission et/ou d’exécuter un déni de service en lançant des appels invalides vers un utilisateur. Désinstaller l’application laisse un serveur localhost sur le système vulnérable, autorisant une réinstallation sans l’accord de l’utilisateur.

Une validation de principe est disponible sur internet.

Actions recommandées

Le CERT.be recommande aux administrateurs système de mettre à jour leur client Zoom vers la version suivante ou plus récente :

https://zoom.us/download