CVE-2021-28133

Опубликовано: 18 мар. 2021

Источник: nvd

CVSS3: 4.3

CVSS2: 4.3

EPSS Низкий

Уязвимость доступа к личной информации на экране участника при использовании функции совместного использования экрана в Zoom

Описание

Zoom версии 5.5.4 иногда позволяет злоумышленникам прочитать личную информацию на экране участника, даже если участник никогда не пытался поделиться этой частью своего экрана. Когда пользователь делится конкретным оконным приложением через функцию совместного использования экрана, другие участники встречи могут на короткое время увидеть содержимое других окон приложений, которые явно не были выбраны для показа. Это происходит, например, когда окна накладываются на общее окно и становятся активными.

Злоумышленник может использовать отдельное приложение для записи экрана, не поддерживаемое Zoom, чтобы сохранить это содержимое для дальнейшего воспроизведения и анализа. В зависимости от непреднамеренно раскрытых данных такое кратковременное отображение содержимого экрана может представлять более или менее серьезную проблему безопасности.

Затронутые версии ПО

Zoom версии 5.5.4

Тип уязвимости

Утечка личной информации

Ссылки

http://packetstormsecurity.com/files/161897/Zoom-5.4.3-54779.1115-5.5.4-13142.0301-Information-Disclosure.html
Third Party Advisory
http://seclists.org/fulldisclosure/2021/Mar/48
Third Party Advisory
https://thehackernews.com/2021/03/new-zoom-screen-sharing-bug-lets-other.html
Third Party Advisory
https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2020-044.txt
Third Party Advisory
https://www.syss.de/pentest-blog/syss-2020-044-sicherheitsproblem-in-screen-sharing-funktionalitaet-von-zoom-cve-2021-28133
Third Party Advisory
https://www.youtube.com/watch?v=SonmmgQlLzg
Third Party Advisory
https://zoom.us/trust/security/security-bulletin
Vendor Advisory
http://packetstormsecurity.com/files/161897/Zoom-5.4.3-54779.1115-5.5.4-13142.0301-Information-Disclosure.html
Third Party Advisory
http://seclists.org/fulldisclosure/2021/Mar/48
Third Party Advisory
https://thehackernews.com/2021/03/new-zoom-screen-sharing-bug-lets-other.html
Third Party Advisory
https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2020-044.txt
Third Party Advisory
https://www.syss.de/pentest-blog/syss-2020-044-sicherheitsproblem-in-screen-sharing-funktionalitaet-von-zoom-cve-2021-28133
Third Party Advisory
https://www.youtube.com/watch?v=SonmmgQlLzg
Third Party Advisory
https://zoom.us/trust/security/security-bulletin
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:zoom:zoom:*:*:*:*:*:*:*:*

Версия до 5.5.4 (включая)

EPSS

Процентиль: 84%

0.02292

Низкий

4.3 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-200

Связанные уязвимости

GHSA-qj56-qx26-7qr8

github

больше 3 лет назад

Zoom through 5.5.4 sometimes allows attackers to read private information on a participant's screen, even though the participant never attempted to share the private part of their screen. When a user shares a specific application window via the Share Screen functionality, other meeting participants can briefly see contents of other application windows that were explicitly not shared. The contents of these other windows can (for instance) be seen for a short period of time when they overlay the shared window and get into focus. (An attacker can, of course, use a separate screen-recorder application, unsupported by Zoom, to save all such contents for later replays and analysis.) Depending on the unintentionally shared data, this short exposure of screen contents may be a more or less severe security issue.

EPSS

Процентиль: 84%

0.02292

Низкий

4.3 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-200