Разработчики Zoom выпустили исправления для семи уязвимостей в своих десктопных и мобильных приложениях, включая критическую ошибку в Windows-клиенте. Критическая ошибка, получившая идентификатор CVE-2024-24691 (9,6 баллов по шкале CVSS), описывается как некорректная проверка вводимых данных, которая может помочь аутентифицированному злоумышленнику повысить свои привилегии. Сообщается, что проблема затрагивает следующие версии продукта: Zoom Desktop для Windows до версии 5.16.5; Zoom VDI для Windows до версии 5.16.10 (за исключением версий 5.14.14 и 5.15.12); Zoom Rooms для Windows до версии 5.17.0; Zoom Meeting SDK для Windows до версии 5.16.5. Хотя в описании уязвимости не указано, как именно ее можно эксплуатировать, судя по всему, проблема требует некоторого взаимодействия с пользователем: клик по ссылке, открытие вложения или выполнение какого-либо другого действия. В большинстве случаем Zoom предложит обновиться до последней версии автоматически. Но исправленную версию 5.17.7 для Windows можно загрузить и вручную. Помимо критической уязвимости в последней версии Zoom также устранены еще шесть других ошибок. CVE-2024-24697: уязвимость в 32-битных клиентах Zoom для Windows позволяет повысить привилегии за счет локального доступа, используя недоверенный поисковый путь; CVE-2024-24696: уязвимость чата в Windows-клиентах Zoom, вызванная некорректной проверкой вводимых данных, допускает раскрытие информации; CVE-2024-24695: аналогично CVE-2024-24696, неправильная проверка вводимых данных в клиентах Zoom для Windows допускает раскрытие информации; CVE-2024-24699: еще одна проблема чата, которая может привести к раскрытию информации; CVE-2024-24690: уязвимость, связанная с некорректной проверкой вводимых данных в некоторых клиентах Zoom, может привести к отказу в обслуживании; CVE-2024-24698: проблема некорректной аутентификации в некоторых клиентах Zoom допускает раскрытие информации через локальный доступ для привилегированных пользователей.