Neuer Zoom Screen-Sharing-Bug ermöglicht anderen Benutzern den Zugriff auf eingeschränkte Apps

Cyber Security News

Ein neu entdeckter Fehler in der Bildschirmfreigabefunktion von Zoom kann nach neuesten Erkenntnissen versehentlich sensible Informationen an andere Teilnehmer eines Anrufs weitergeben.

Die als CVE-2021-28133 verfolgte, ungepatchte Sicherheitslücke ermöglicht es, Inhalte von Anwendungen, die nicht freigegeben sind, offenzulegen, wodurch die Inhalte kurzzeitig für alle Meeting-Teilnehmer sichtbar werden.

Es ist erwähnenswert, dass die Bildschirmfreigabefunktion in Zoom es den Benutzern ermöglicht, den gesamten Desktop oder Telefonbildschirm freizugeben oder die Freigabe auf eine oder mehrere bestimmte Anwendungen oder einen Teil des Bildschirms zu beschränken. Das Problem ergibt sich aus der Tatsache, dass eine zweite Anwendung, die über eine bereits freigegebene Anwendung gelegt wird, deren Inhalt für eine kurze Zeitspanne offenlegen kann.

“Wenn ein Zoom-Benutzer ein bestimmtes Anwendungsfenster über die Funktion ‘Bildschirm freigeben’ freigibt, können andere Meeting-Teilnehmer kurzzeitig Inhalte anderer Anwendungsfenster sehen, die nicht explizit freigegeben wurden”, so die SySS-Forscher Michael Strametz und Matthias Deeg. “Die Inhalte von nicht geteilten Anwendungsfenstern können zum Beispiel für kurze Zeit von anderen Nutzern gesehen werden, wenn diese Fenster das geteilte Anwendungsfenster überlagern und in den Fokus geraten.”

Der Fehler, der auf den Versionen 5.4.3 und 5.5.4 sowohl auf Windows- als auch auf Linux-Clients getestet wurde, soll dem Videokonferenzunternehmen am 2. Dezember 2020 bekannt gemacht worden sein. Dass es auch nach drei Monaten noch keinen Fix gab, könnte zum Teil auf die Schwierigkeit zurückzuführen sein, die Sicherheitslücke auszunutzen.

Nichtsdestotrotz könnte dies schwerwiegende Folgen haben, abhängig von der Art der versehentlich geteilten Daten, warnten die Forscher und fügten hinzu, dass ein böswilliger Teilnehmer eines Zoom-Meetings die Schwachstelle ausnutzen kann, indem er ein Screen-Capture-Tool verwendet, um das Meeting aufzuzeichnen und die Aufzeichnung abzuspielen, um die privaten Informationen zu sehen.

Wir haben uns an Zoom gewandt, um mehr Details über den Fix zu erfahren, und wir werden die Geschichte aktualisieren, wenn wir eine Antwort erhalten.

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com