www.belgium.be Logo of the federal government

Zoom Kwetsbaarheid

Referentie: 
Advisory #2019-018
Versie: 
1.0
Geïmpacteerde software: 
Zoom software op Mac
Type: 
DDOS, Ongeauthoriseerde toegang
CVE/CVSS: 

CVE-2019-13449, CVE-2019-13450

Bronnen

https://blog.zoom.us/wordpress/2019/07/08/response-to-video-on-concern/

https://medium.com/bugbountywriteup/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5

Risico’s

Er is een kwetsbaarheid gevonden in de Zoom client voor Mac. Deze kwetsbaarheid laat kwaadaardige websites toe om zonder toestemming de camera in te schakelen, of een Denial of Service (DoS) uit te voeren door een gebruiker herhaaldelijk toe te voegen aan een niet bestaande oproep. Het verwijderen van de applicatie laat nog steeds een kwetsbare localhost server lopen op het systeem, wat toelaat om de applicatie opnieuw te installeren, zonder toestemming van ge gebruik.

Er is reeds een Proof-of-Concept beschikbaar

Aanbevolen acties

CERT.be raad aan om de kwetsbaare zoom applicatie op MacOS naar de laatste versie te updaten:  

https://zoom.us/download