Уязвимость утечки информации в клиентах Zoom для Windows через некорректное использование службы проверки правописания
Описание
Существует уязвимость утечки информации в клиентах Zoom для Windows. Используемый в клиентах элемент Microsoft Edge WebView2 ошибочно передает текст в онлайн-сервис проверки правописания Microsoft вместо использования локальной проверки на Windows.
Затронутые версии ПО
- Zoom for Windows версии до 5.13.3
- Zoom Rooms for Windows версии до 5.13.5
- Zoom VDI for Windows версии до 5.13.1
Тип уязвимости
Утечка информации
Способы защиты
Уязвимость устраняется путем обновления клиентов Zoom, что отключает проблемную функцию. Также обновление Microsoft Edge WebView2 Runtime до версии не менее 109.0.1481.0 и перезапуск Zoom устраняет уязвимость, корректируя поведение телеметрии Microsoft.
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
6.8 Medium
CVSS3
7.5 High
CVSS3
Дефекты
Связанные уязвимости
Zoom for Windows clients before version 5.13.3, Zoom Rooms for Windows clients before version 5.13.5 and Zoom VDI for Windows clients before 5.13.1 contain an information disclosure vulnerability. A recent update to the Microsoft Edge WebView2 runtime used by the affected Zoom clients, transmitted text to Microsoft’s online Spellcheck service instead of the local Windows Spellcheck. Updating Zoom remediates this vulnerability by disabling the feature. Updating Microsoft Edge WebView2 Runtime to at least version 109.0.1481.0 and restarting Zoom remediates this vulnerability by updating Microsoft’s telemetry behavior.
Уязвимость службы проверки орфографии Spellcheck программного обеспечения для проведения видеоконференций Zoom, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
EPSS
6.8 Medium
CVSS3
7.5 High
CVSS3