Zoom bis 5.4.3/5.5.4 auf Windows/Linux Screen Sharing Information Disclosure

eintrageditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Aktueller Exploitpreis (≈)
CTI Interest Score
4.8$0-$5k0.84

In Zoom bis 5.4.3/5.5.4 auf Windows/Linux wurde eine problematische Schwachstelle entdeckt. Dabei geht es um ein unbekannter Codeteil der Komponente Screen Sharing Handler. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-200. Dies hat Einfluss auf die Vertraulichkeit. Die Zusammenfassung von CVE lautet:

Zoom through 5.5.4 sometimes allows attackers to read private information on a participant's screen, even though the participant never attempted to share the private part of their screen. When a user shares a specific application window via the Share Screen functionality, other meeting participants can briefly see contents of other application windows that were explicitly not shared. The contents of these other windows can (for instance) be seen for a short period of time when they overlay the shared window and get into focus. (An attacker can, of course, use a separate screen-recorder application, unsupported by Zoom, to save all such contents for later replays and analysis.) Depending on the unintentionally shared data, this short exposure of screen contents may be a more or less severe security issue.

Die Schwachstelle wurde am 19.03.2021 als SYSS-2020-044 öffentlich gemacht. Bereitgestellt wird das Advisory unter syss.de. Die Verwundbarkeit wird seit dem 10.03.2021 als CVE-2021-28133 geführt. Sie ist leicht auszunutzen. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.

Das Problem kann durch den Einsatz von als alternatives Produkt mitigiert werden.

Produktinfoedit

Name

CPE 2.3infoedit

CPE 2.2infoedit

Videoedit

CVSSv3infoedit

VulDB Meta Base Score: 4.8
VulDB Meta Temp Score: 4.8

VulDB Base Score: 5.3
VulDB Temp Score: 5.3
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 4.3
NVD Vector: 🔒

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔒

Exploitinginfoedit

Klasse: Information Disclosure
CWE: CWE-200
ATT&CK: Unbekannt

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayunlockunlockunlockunlock
Heuteunlockunlockunlockunlock

Threat Intelligenceinfoedit

Bedrohungslage: 🔍
Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍

Gegenmassnahmeninfoedit

Empfehlung: Alternative
Status: 🔍

0-Day Time: 🔒

Timelineinfoedit

10.03.2021 CVE zugewiesen
19.03.2021 +9 Tage Advisory veröffentlicht
19.03.2021 +0 Tage VulDB Eintrag erstellt
02.04.2021 +14 Tage VulDB letzte Aktualisierung

Quelleninfoedit

Advisory: SYSS-2020-044
Status: Nicht definiert

CVE: CVE-2021-28133 (🔒)

Eintraginfoedit

Erstellt: 19.03.2021 07:07
Aktualisierung: 02.04.2021 19:47
Anpassungen: (18) vulnerability_cvss3_nvd_av vulnerability_cvss3_nvd_ac vulnerability_cvss3_nvd_pr vulnerability_cvss3_nvd_ui vulnerability_cvss3_nvd_s vulnerability_cvss3_nvd_c vulnerability_cvss3_nvd_i vulnerability_cvss3_nvd_a vulnerability_cvss2_nvd_av vulnerability_cvss2_nvd_ac vulnerability_cvss2_nvd_au vulnerability_cvss2_nvd_ci vulnerability_cvss2_nvd_ii vulnerability_cvss2_nvd_ai vulnerability_cvss3_meta_basescore vulnerability_cvss3_meta_tempscore vulnerability_cvss2_nvd_basescore vulnerability_cvss3_nvd_basescore
Komplett: 🔍

Kommentare

Do you want to use VulDB in your project?

Use the official API to access entries easily!