줌(Zoon)의 화상 회의 플랫폼 ‘줌 룸(Zoom Room)’에서 로컬 권한 상승을 통한 기기 제어 등 심각한 문제를 일으킬 수 있는 보안 취약점이 4개 발견됐다. 줌은 취약점 발견 후 패치를 실행했다고 밝혔다.
다음은 줌에서 해결한 취약점에 대한 세부 정보다.
• CVE-2022-36930(CVSS 점수 8.2): 윈도우 인스톨러용 룸의 로컬 권한 상승
이 취약점은 버전 5.13.0 이전의 윈도우용 줌 룸 설치에 영향을 미친다. 권한이 낮은 로컬 사용자는 공격 체인에서 이 취약점을 악용해 자신의 권한을 시스템 사용자에게 양도할 수 있다.
• CVE-2022-36929(CVSS 점수 7.8): 윈도우 클라이언트용 룸의 로컬 권한 상승
이 결함은 버전 5.12.7 이전의 윈도우용 룸 클라이언트에 영향을 미친다. 권한이 낮은 로컬 사용자는 이 취약점을 악용해 자신의 권한을 시스템 사용자에게 양도할 수 있다.
• CVE-2022-36926, CVE-2022-36927(CVSS 점수 8.8): 맥OS 클라이언트용 줌 룸의 로컬 권한 상승
이 취약점은 버전 5.11.3 이전의 맥OS용 룸 클라이언트에 영향을 미친다. 권한이 낮은 로컬 사용자가 자신의 권한을 루트로 양도하는데 악용될 수 있다.
또한 줌은 추가로 중간 정도의 심각도를 가진 취약점 2개도 해결했다. 세부 정보는 다음과 같다.
• CVE-2022-36928(CVSS 점수 6.1): 안드로이드 클라이언트용 줌의 경로 순회
• CVE-2022-36925(CVSS 점수 4.4): 맥OS 클라이언트용 줌 룸의 안전하지 않은 키 생성
이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
