Zoom warnt vor einer kritischen Sicherheitslücke in seinen Windows-Anwendungen. Unauthentifizierte Angreifer können Konten komplett übernehmen.
Der Kommunikationsdienstleister Zoom warnt vor einer kritischen Sicherheitslücke in seinem Desktop-Client sowie in seinem Software Development Kit für das Betriebssystem Windows. Die intern entdeckte Schwachstelle wird unter der Kennung CVE-2026-53412 geführt und hat auf der Bewertungsskala einen Risikowert von 9,8 von 10 Punkten erhalten. Betroffen sind die Kollaborationsanwendung Zoom Workplace für Windows vor der Version 7.0.0, der Windows VDI-Client vor den Versionen 7.0.10, 6.6.15 und 6.5.18 sowie das Meeting SDK für Windows vor der Version 7.0.0. Das Unternehmen machte in seinem offiziellen Sicherheitsbulletin keine detaillierten technischen Angaben zur genauen Funktionsweise des Fehlers, beschrieb das Problem jedoch als unzureichende Eingabevalidierung. In der Sicherheitswarnung heißt es wörtlich:
„Eine unzureichende Eingabevalidierung im Zoom Desktop Client für Windows, Zoom VDI Client für Windows und Zoom Meeting SDK für Windows kann es einem nicht authentifizierten Benutzer ermöglichen, eine Kontoübernahme über den Netzwerkzugriff durchzuführen.“
Zoom
Um die mit der Schwachstelle verbundenen Risiken zu minimieren, empfiehlt Zoom allen Anwendern die unverzügliche Installation der neuesten Software-Updates über die offiziellen Download-Kanäle.
Weitere Schwachstellen mit niedrigerem Schweregrad
Neben der kritischen Lücke behebt das aktuelle Update-Paket von Zoom drei weitere Sicherheitsmängel, die einen hohen Schweregrad aufweisen:
- CVE-2026-53410: Eine zeitabhängige Rennbedingung (Race Condition), die Zoom Workplace für Windows, den VDI-Client, die Zoom Rooms sowie das zugehörige Plugin betrifft. Ein bereits lokal am System authentifizierter Angreifer könnte diesen Fehler ausnutzen, um während des Installations- oder Deinstallationsprozesses höhere Systemrechte zu erlangen.
- CVE-2026-53409: Ein Fehler bei der Rechteverwaltung in Zoom Rooms für Windows, der ebenfalls eine lokale Rechteausweitung durch authentifizierte Nutzer ermöglicht.
- CVE-2026-53411: Eine fehlerhafte Eingabevalidierung im VDI-Plugin für Windows, über die lokale, authentifizierte Nutzer ihre Berechtigungen auf dem System erweitern können.
Keine Hinweise auf aktive Ausnutzung
Die Windows-Anwendungen von Zoom werden weltweit von Millionen von Einzelpersonen und Organisationen für Videokonferenzen, Gruppenchats, IP-Telefonie und die Dokumentenverwaltung eingesetzt. Zum Zeitpunkt der offiziellen Veröffentlichung des Sicherheitsberichts lagen dem Hersteller keine Hinweise oder Berichte darüber vor, dass eine der behobenen Schwachstellen bereits in der Praxis von Angreifern für böswillige Aktivitäten ausgenutzt wurde.
(red)