Zoom: Videokonferenzsoftware mit teils hochriskanten Lücken

Das Unternehmen Zoom hat in den Workplace Apps der gleichnamigen Videokonferenzsoftware mehrere Sicherheitslücken entdeckt. Die Entwickler haben aktualisierte Software bereitgestellt, die diese Lücken abdichtet. IT-Verantwortliche sollten die Updates zügig herunterladen und installieren.

Die schwerwiegendste Sicherheitslücke stammt von einer Race-Condition, die sich aufgrund des Prüfungszeitpunkts und des davon abweichenden Einsatzzeitpunkts einer Komponente auftut (Time-of-Check Time-of-Use). Zoom erläutert in der Sicherheitsmeldung nicht, welcher Bestandteil betroffen ist oder wie Angreifer das konkret missbrauchen können. Jedoch können angemeldete Nutzer mit lokalem Zugriff auf das System ihre Rechte dadurch ausweiten (CVE-2025-30663 / noch keine EUVD, CVSS 8.8, Risiko "hoch").

Die Lücken betreffen die Versionen vor den fehlerbereinigten Fassungen der Zoom Workplace (Desktop) App for Android, iOS, Linux, macOS und Windows 6.4.0, dem Workplace VDI Client for Windows 6.3.10 (mit Ausnahme der Fassungen 6.1.16 und 6.2.12), Rooms Controller for Android, Linux, macOS und Windows 6.4.0, Rooms Client for Android, iPad, macOS und Windows 6.4.0 sowie dem Zoom Meeting SDK for Android, iOS, Linux, macOS und Windows 6.4.0. Die aktualisierten Versionen stellt Zoom im Download-Portal zum Herunterladen bereit.

Außerdem haben die Entwickler weitere Sicherheitslücken in den Zoom Workplace Apps in Angriff genommen. Auch dafür stehen Updates bereit, mit denen Admins ihre Systeme gegen Angriffe absichern können. Es handelt sich um folgende Sicherheitslecks in absteigender Reihenfolge des Risikos: