Exposition de données sensibles sur Zoom

Origine: bjCSIRT

Numéro: 2021/ALERTE/010

Date de l’alerte: 25/03/2021

APERÇU :

La faille libellée CVE-2021-28133, récemment découverte   et résidant dans la fonction de partage d’écran de la plateforme de visioconférence Zoom, permettrait de divulguer accidentellement des informations sensibles aux autres participants d’une réunion Zoom.

 

DESCRIPTION :

La fonctionnalité de partage d’écran de Zoom permet aux utilisateurs de partager le contenu de leur écran avec d’autres participants lors d’une conférence Zoom. Un utilisateur a la possibilité de partager l’intégralité de son écran, une ou plusieurs fenêtres d’application ou une seule zone sélectionnée de leur écran. Cependant, si un présentateur Zoom choisit de partager une fenêtre d’application, la fonction de partage d’écran transmet brièvement le contenu des autres fenêtres d’application aux participants à la réunion. Bien que cela ne se produise que brièvement, les autres participants enregistrant la réunion Zoom sont en mesure de revenir à l’enregistrement et de visualiser complètement toutes éventuelles données sensibles.

Cette courte exposition involontaire du contenu de l’écran peut être plus ou moins un problème de sécurité grave. Pour exploiter cette vulnérabilité, l’attaquant devrait participer à une réunion Zoom au cours de laquelle des données sensibles sont divulguées par inadvertance. La faille n’est que de gravité moyenne (5,7 sur 10).

Une exploitation réussie de cette vulnérabilité pourrait conduire à l’exposition de données sensibles des utilisateurs.

 

IMPACT :

Exposition de données sensibles

 

SYSTEMES AFFECTÉS :

Version actuelle 5.5.4 (3142.030) et antérieures

MESURES À PRENDRE :

Bien que Zoom n’ait pas déjà émis de correctif, les utilisateurs devraient contrôler leurs fenêtres pendant les réunions pour éviter au maximum des fuites de données sensibles ou non.

 

REFERENCES :

  • https://threatpost.com/zoom-glitch-leaks-data/164876/
  • https://thehackernews.com/2021/03/new-zoom-screen-sharing-bug-lets-other.html
  • https://vulmon.com/vulnerabilitydetails?qid=CVE-2021-28133

 

Partagez sur vos réseaux.