In unserem neuen SySS Proof of Concept Video: Zoom Unintended Screen Sharing Issue wird ein Sicherheitsproblem in der Screen Sharing-Funktion der Videokonferenzsoftware Zoom demonstriert, die von unserem IT-Sicherheitsexperten Michael Strametz Ende letzten Jahres gefunden wurde.
Zoom ermöglicht es Benutzern, Inhalte ihres Bildschirms mit anderen Meeting-Teilnehmern zu teilen. Dabei kann der gesamte Bildschirm, ein oder mehrere Anwendungsfenster oder nur ein ausgewählter Bildschirmbereich zum Teilen ausgewählt werden.
Die Screen Sharing-Funktionalität von Zoom besitzt dabei einen Fehler, der unter gewissen Voraussetzungen kurzzeitig auch Bildschirminhalte, die nicht freigegeben wurden, per Videostream an alle Meeting-Teilnehmer überträgt. Dieses Problem tritt zuverlässig reproduzierbar beim Teilen eines Anwendungsfensters auf, das entweder beim Öffnen (unter Windows) oder beim Schließen (unter Linux) einer weiteren, nicht geteilten Anwendung mit dessen Anwendungsfenster überlagert wird. Die Inhalte des explizit nicht geteilten Anwendungsfensters können dabei für einen kurzen Moment (wenige Einzelbilder, Frames) im Videostream wahrgenommen werden.
Falls ein Meeting-Teilnehmer das entsprechende Zoom-Meeting unter Verwendung einer Screen Recorder-Software aufzeichnet, hat er so später möglicherweise Zugriff auf sensible Daten anderer Benutzer, auch wenn diese nur in wenigen Frames sichtbar waren. Abhängig von den unbeabsichtigt geteilten Daten stellt diese kurze Übermittlung von Bildschirminhalten ein mehr oder weniger großes Sicherheitsproblem dar.
Detaillierte Informationen zu dieser gefundenen Schwachstelle finden Sie in unserem Security Advisory / You will find detailed information about these security issues in our Security Advisory:
Die aktuelle Version 5.5.4 (13142.0301) der Zoom-Clientsoftware ist immer noch von diesem Sicherheitsproblem betroffen.
18.02.2025
- 20.02.2025
Hack3: Angriffe auf Windows-basierte Netzwerke
25.02.2025
- 26.02.2025
Hack5: Exploit Development
03.03.2025
- 04.03.2025
Hack8: WLAN Hacking und WLAN Security
04.03.2025
Awe2: Phishing Awareness
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Direkter Kontakt
+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN
+49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer