Die Videokonferenzlösung Zoom braucht Updates. In der Software stecken laut dem Anbieter mehrere hochkritische Sicherheitslücken. Unter anderem wird damit das Ausführen von Schadcode möglich. Betroffen von den Lücken sind die Zoom-Versionen für Android, iOS, Linux, macOS und Windows vor Version 5.13.5.

Eine mit dem Risikopotenzial „hoch“ eingestufte Sicherheitslücke steckt in einer falschen Implementierung beim  Server-Message-Block-Protokoll (SMB) in den Zoom Clients. Wenn ein Opfer eine lokale Aufzeichnung an einem SMB-Speicherort speichert und sie später über einen Link vom Zoom-Webportal öffnet, könnte ein Angreifer, der sich in einem benachbarten Netzwerk des Opfer-Clients befindet, einen bösartigen SMB-Server einrichten, der auf Client-Anfragen antwortet und den Client dazu bringt, vom Angreifer kontrollierte ausführbare Dateien auszuführen, heißt es im Security Bulletin der Zoom-Entwickler.

Eine weitere hochriskante Lücke steckt im Windows-Installer des Zoom-Clients für IT-Admins vor Version 5.13.5. Über eine lokale Schwachstelle ist dort die Ausweitung von Rechten möglich. Ein lokaler Benutzer mit niedrigen Privilegien könnte laut Bulletin diese Schwachstelle in einer Angriffskette während des Installationsprozesses ausnutzen, um seine Privilegien auf den System-Benutzer zu erweitern.

Die insgesamt vier Lücken sind bei Zoom in den Security Bulletins aufgeführt. Updates sind über die Zoom-Webseite erhältlich oder über die in der App aufrufbare Prüfung nach Updates. Die erreicht man nach einem Klick auf das Profilbild und dann auf den Eintrag “Nach Updates suchen”.

Der Beitrag Kritische Sicherheitslücken in Konferenzsoftware Zoom erschien zuerst auf Linux-Magazin.

Die quelloffene Cloud-Office-Lösung Onlyoffice hat zwei neue Plugins veröffentlicht, mit denen sich der Chatbot ChatGPT und die Videokonferenzlösung Zoom bei der Bearbeitung von Dokumenten integrieren lassen.

Die Integration von ChatGPT ermögliche es, direkt im Bearbeitungsfenster Textanfragen zu senden, die von ChatGPT verarbeitet und anschließend im Dokument als Text ausgegeben werden, teilt der Anbieter mit. User können so etwa Textabschnitte generieren lassen, Absätze analysieren, sich Fragen beantworten lassen oder ChatGPT anweisen, vorgefertigte HTML-Tabellen anzulegen. Voraussetzung für den Einsatz von ChatGPT ist ein vorhandener ChatGPT-API-Schlüssel.

ChatGPT löst die Aufgabe “Tell me a brief history of open-source software.”.

Das Plugin zur Zoom-Integration ermöglicht es, Videocalls direkt aus einem Dokument heraus zu tätigen. Das soll Teams die Zusammenarbeit an Dokumenten erleichtern und man könne sich zu konkreten Abschnitten absprechen, heißt es in der Ankündigung. Die neuen Plugins seien im in die Editoren integrierten Onlyoffice Plugin-Manager erhältlich.

Onlyoffice von Ascensio System SIA zählt nach Angaben des Herstellers mit über 10 Millionen Benutzern weltweit zu den führenden Open-Source-Plattformen für die kollaborative Bearbeitung von Dokumenten. Durch die quelloffene API könnten Entwickler eigene Add-ons schreiben. Der komplette Quellcode von Onlyoffice sei auf GitHub zu finden.

Angeboten werden drei Versionen, die kostenpflichtigen Enterprise- und Developer-Editionen und die kostenfreie Community Edition.

Der Beitrag Onlyoffice integriert ChatGPT und Zoom erschien zuerst auf Linux-Magazin.

Das Team des quelloffenen Cloud-Office ONLYOFFICE hat zwei neuePlug-ins zur Verfügung gestellt. Damit können User den Chatbot ChatGPT und denVideokonferenzdienst Zoom bei der Bearbeitung von Dokumenten integrieren. Ist ChatGPT integriert, kannst Du direkt im Bearbeitungsfenster Textanfragen senden. Sie werden von ChatGPT verarbeitet und anschließend im Dokument als Text ausgegeben. User können auf diese Weise etwa ganze Textabschnitte generieren lassen, Absätze analysieren oder sich Fragen beantworten lassen. Du kannst ChatGPT auch anweisen, vorgefertigte HTML-Tabellen anzulegen. Das Plug-in für die Zoom-Integration erlaubt […]

Der Beitrag ONLYOFFICE: Neue Plug-ins integrieren Zoom und ChatGPT ist von bitblokes.de.

Ein Forscher hat im Dezember 2021 eine Lücke an Zoom gemeldet. Acht Monate später ist das Problem nicht behoben. Jetzt hat er sie veröffentlicht.

Der Sicherheitsforscher Patrick Wardle hat auf der Hackerkonferenz Def Con mehrere Sicherheitslücken in der Videokonferenzsoftware Zoom präsentiert. Für eine Zero Day unter MacOS gibt es bisher noch keinen Patch. Mit ihm lassen sich die Rechte ausweiten und so eine Schadsoftware als Administrator ausführen. Mehrere andere Fehler hat Zoom bereits behoben. Zuerst hatte das Onlinemagazin The Verge berichtet.

Das Sicherheitsproblem liegt demnach in der Aktualisierungfunktion von Zoom, die beispielsweise Updates einspielt oder die Software entfernt. Diese prüft zwar, ob ein heruntergeladenes Paket kryptografisch signiert wurde, durch einen Fehler in der Prüfungsmethode kann dem Updater jedoch ein beliebiges Zertifikat mit dem gleichen Namen wie das Signierzertifikat von Zoom übergeben werden.

So könnten Angreifer die Überprüfung der zu installierenden Software aushebeln und beispielsweise eine Schadsoftware ausführen. Die Schadsoftware wird durch den Zoom-Updater mit Administratorrechten ausgeführt. Die Sicherheitslücke kann jedoch erst genutzt werden, wenn Angreifer bereits Zugriff auf das System des Betroffenen haben, dann können sie allerdings ihre Rechte ausweiten und haben weitreichenden Zugriff auf das betroffene System.

Gemeldet hatte Wardle die Sicherheitslücke bereits im Dezember 2021. Ein erster Fix führte einen weiteren Fehler ein, mit dem sich die Sicherheitslücke weiterhin ausnutzen ließ, nur eben etwas komplizierter, erklärte Wardle The Verge. Nach acht Monaten habe er sich nun entschlossen, die Sicherheitslücke öffentlich zu machen, auch wenn sie weiterhin nicht behoben sei.

“Für mich war das irgendwie problematisch, weil ich nicht nur die Bugs an Zoom gemeldet habe, sondern auch die Fehler und wie man den Code behebt”, sagte Wardle. “Es war also wirklich frustrierend, sechs, sieben, acht Monate zu warten und zu wissen, dass alle Mac-Versionen von Zoom auf den Computern der Nutzer saßen und anfällig waren.” Durch die Veröffentlichung hofft Wardle, dass der Fehler, der sehr einfach zu beheben sei, nun endlich behoben wird.

Kurz vor der Konferenz hatte Zoom laut The Verge ein Update herausgebracht, das die Lücke beheben sollte. Demnach wird die Update-Datei nun in einen Ordner verschoben, der dem Nutzer Root gehört. Da beim Kopieren die Lese- und Schreibrechte des Nutzers mitkopiert werden, kann dieser auch weiterhin die Datei verändern – und entsprechend auch Angreifer weiterhin die Datei austauschen und ihre Rechte ausweiten.

Matt Nagel, PR-Verantwortlicher für Sicherheit und Datenschutz bei Zoom, sagte in einer Stellungnahme zu The Verge: “Wir sind uns der neu gemeldeten Schwachstelle im Zoom Auto-Updater für macOS bewusst und arbeiten mit Nachdruck daran, sie zu beheben.”

Update: Zoom teilte mit, dass die Sicherheitslücke mittlerweile behoben worden sein soll: “Die neu gemeldete Sicherheitslücke für den MacOS Auto-Updater wurde im Zoom Client für Meetings für die MacOS Version 5.11.5 behoben.”

Der Beitrag Sicherheitslücke in Zoom auch nach acht Monaten offen erschien zuerst auf Linux-Magazin.

An hessischen Hochschulen darf Zoom weiter genutzt werden, sofern die Maßnahmen des Hessischen Modells umgesetzt werden.

Lehrveranstaltungen an hessischen Universitäten können weiterhin über die Videokonferenzsoftware Zoom abgehalten werden, sofern die Vorgaben des sogenannten Hessischen Modells eingehalten werden. Das teilte die Behörde des Landesdatenschutzbeauftragten Alexander Roßnagel mit.

Aufgrund der Coronapandemie hatte die hessische Datenschutzbehörde den Einsatz von Videokonferenzsystemen wie Zoom geduldet, auch wenn diese nicht den datenschutzrechtlichen Anforderungen entsprachen. Diese Duldung lief im Juli 2021 aus. Hintergrund ist eine Entscheidung des Europäischen Gerichtshofes (EuGH). Nach diesem Schrems II genannten Urteil dürfen personenbezogene Daten nur in die USA übertragen werden, wenn sichergestellt wird, dass US-Behörden nicht auf sie zugreifen können. Dies könne ein US-Anbieter wie Zoom jedoch nicht garantieren, erklärte die hessische Datenschutzbehörde.

Die Universität Kassel hat nun mit Unterstützung der Datenschutzbehörde das Hessische Modell entwickelt, mit dem die personenbezogenen Daten der Teilnehmer an einer Zoom-Konferenz entsprechend geschützt werden sollen. Damit soll die Videokonferenzsoftware weiterhin genutzt werden können.

Für den Betrieb der Server des Videokonferenzsystems muss daher ein von Zoom unabhängiger Auftragsverarbeiter mit Servern und Sitz in der EU beauftragt werden. Alle Inhalte müssen Ende-zu-Ende-verschlüsselte werden und die Software darf ausschließlich für Lehrveranstaltungen genutzt werden. So müssen beispielsweise Einzelgespräche über andere Systeme abgewickelt werden.

Ein solches “alternatives datenschutzkonformes Videokonferenzsystem für andere Zwecke oder für Lehrpersonen, die nicht mit Zoom arbeiten wollen”, muss ohnehin von der Universität angeboten werden. Zudem müssten die Lehrkräfte sowie die Studenten ausführlich über “weiterführende, unterstützende Maßnahmen zum Schutz der informationellen Selbstbestimmung” informiert werden. Insgesamt müsse ein Abfluss von personenbezogenen Daten der Studenten in die USA verhindert werden, heißt es in der Zusammenfassung des Hessischen Modells.

“Das Hessische Modell zeigt, dass es sich lohnt, konstruktiv nach Wegen zu suchen, wie durch Technikgestaltung die Vorteile bestimmter IT-Systeme genutzt werden können, ohne dass der Datenschutz auf der Strecke bleibt. Insofern ist dieses Modell auch für andere Videokonferenzsysteme ein Vorbild und kann methodisch auf viele Probleme des Datenschutzes übertragen werden”, sagte Roßnagel.

Der Beitrag Hessen: Datenschutzbeauftragter erlaubt Zoom-Einsatz unter Auflagen erschien zuerst auf Linux-Magazin.