www.belgium.be Logo of the federal government

Vulnérabilité dans Zoom

Référence: 
Advisory #2019-018
Version: 
1.0
Logiciels concernés : 
Zoom pour MacOs
Type: 
DDOS, Accès non autorisé
CVE/CVSS: 

CVE-2019-13449, CVE-2019-13450

Sources

https://blog.zoom.us/wordpress/2019/07/08/response-to-video-on-concern/

https://medium.com/bugbountywriteup/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5

Risques

Une vulnérabilité découverte dans le client Zoom pour mac permet à un site web spécifiquement conçu d’activer votre camera sans votre permission et/ou d’exécuter un déni de service en lançant des appels invalides vers un utilisateur. Désinstaller l’application laisse un serveur localhost sur le système vulnérable, autorisant une réinstallation sans l’accord de l’utilisateur.

Une validation de principe est disponible sur internet.

Actions recommandées

Le CERT.be recommande aux administrateurs système de mettre à jour leur client Zoom vers la version suivante ou plus récente :

https://zoom.us/download