Mises à jour de sécurité Zoom

Toutes les mises à jour de sécurités publiées et les failles annoncées
Reprise notamment des publications du CERT-FR (ANSSI)
Répondre
Avatar du membre
charles
Administrateur du site
Messages : 4777
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Mises à jour de sécurité Zoom

Message par charles » 04 juin 2020 09:21

Deux vulnérabilités pouvant permettre à un attaquant de réaliser une exécution de code arbitraire à distance ont été corrigées le 21/04/2020 dans la version 4.6.12 du client Zoom. L'équipe Cisco Talos revient en détails sur ces vulnérabilités :

https://blog.talosintelligence.com/2020 ... -2020.html
https://talosintelligence.com/vulnerabi ... -2020-1055
https://talosintelligence.com/vulnerabi ... -2020-1056

Depuis le 30/05/2020, une mise à jour forcée vers la version 5.0.4 (ou supérieure) est nécessaire pour rejoindre les réunions :

https://support.zoom.us/hc/en-us/articl ... or-Windows

Avatar du membre
charles
Administrateur du site
Messages : 4777
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mises à jour de sécurité Zoom

Message par charles » 11 juin 2020 10:36

L'EFF et Mozilla se mobilisent pour que Zoom propose enfin sa fonctionnalité de chiffrement de bout en bout également aux utilisateurs ne disposant pas d'une licence commerciale :

https://www.eff.org/deeplinks/2020/06/w ... ed-it-most

Avatar du membre
charles
Administrateur du site
Messages : 4777
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mises à jour de sécurité Zoom

Message par charles » 22 juin 2020 09:13

Le chiffrement de bout en bout désormais disponible pour les utilisateur non commerciaux :

https://www.eff.org/deeplinks/2020/06/v ... -its-users

https://github.com/zoom/zoom-e2e-whitep ... om_e2e.pdf

Avatar du membre
charles
Administrateur du site
Messages : 4777
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mises à jour de sécurité Zoom

Message par charles » 10 juil. 2020 12:37

Une vulnérabilité permettant à un attaquant de réaliser une exécution de code arbitraire à distance dans le client Zoom pour Windows (Windows 7) a été révélée le 09/07/2020 par 0Patch, qui propose un patch non officiel :

https://blog.0patch.com/2020/07/remote- ... ty-in.html

Un correctif officiel est attendu.

Avatar du membre
charles
Administrateur du site
Messages : 4777
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mises à jour de sécurité Zoom

Message par charles » 12 juil. 2020 13:16

La vulnérabilité révélée par 0patch a été corrigée dans la version 5.1.3 publiée le 10/07/2020 :

https://support.zoom.us/hc/en-us/articl ... ly-10-2020

https://support.zoom.us/hc/en-us/articles/201361953

Avatar du membre
charles
Administrateur du site
Messages : 4777
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mises à jour de sécurité Zoom

Message par charles » 31 juil. 2020 12:40

Le chercheur Tom Anthony a révélé le 29/07/2020 la "simplicité" d'attaque par force brute sur les mots de passe des réunions Zoom. En effet les mots de passe étaient composés de 6 chiffres uniquement et aucun blocage sur les tentatives multiples n'était mis en place. Avec son PC personnel, il arrivait donc à retrouver un mot de passe en 30 minutes environ :

https://www.tomanthony.co.uk/blog/zoom- ... passwords/

Répondre

Retourner vers « Alertes de sécurité - Mises à jour et failles »