Sicherheitslücke: Zoom leakt nicht freigegebene Fenster

Statt einer geteilten Präsentation bekommen Videokonferenz-Teilnehmer unter bestimmten Umständen kurzzeitig ein anderes Fenster zu Gesicht.

Artikel veröffentlicht am ,
Wenn statt der Matheaufgabe plötzlich Privates auf dem Bildschirm auftaucht ...
Wenn statt der Matheaufgabe plötzlich Privates auf dem Bildschirm auftaucht ... (Bild: Hatice EROL/Pixabay)

Wie viele andere Videokonferenzdienste unterstützt Zoom auch die Funktion, den Bildschirm zu teilen, um beispielsweise Präsentationen anzuzeigen. Doch über eine Sicherheitslücke in Zoom können ungewollt auch andere Fenster oder der Desktop geteilt werden, wie die Sicherheitsforscher Michael Strametz und Matthias Deeg von der Pentesting-Firma Syss herausgefunden haben.

Stellenmarkt
  1. SAP-Systemanalytiker*in
    UNI ELEKTRO Fachgroßhandel GmbH & Co. KG, Eschborn
  2. Softwareentwickler C# / .NET (m/w/d)
    IS Software GmbH, Regensburg
Detailsuche

So könne bei der Bildschirmfreigabe der komplette Desktop oder ausgewählte Fenster geteilt werden. Doch auch wenn beispielsweise nur ein Präsentationsfenster geteilt werde, könnten andere Fenster - die nicht explizit freigegeben wurden - von anderen Meeting-Teilnehmern gesehen werden, erklären die Sicherheitsforscher.

Kurzzeitiges Datenleck kann aufgezeichnet werden

Das geschehe, wenn ein nicht freigegebenes Anwendungsfenster kurzzeitig ein freigegebenes Anwendungsfenster überlagere und so in den Fokus gerate. "Abhängig von den ungewollt freigegebenen Daten kann diese kurze Exposition von Bildschirminhalten ein mehr oder weniger schwerwiegendes Sicherheitsproblem darstellen", schreiben die Sicherheitsforscher.

Zwar würden die geleakten Informationen nur kurzzeitig eingeblendet, doch wenn eine am Meeting teilnehmende Person das aufnehme, beispielsweise mit einem Screenrecorder, könne sie einfach zurückspulen und die unfreiwillig geteilten Informationen in Ruhe studieren, geben Strametz und Deeg zu bedenken. Betroffen seien sowohl die aktuelle Windows- als auch die Linux-Version des Zoom-Clients.

Golem Akademie
  1. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    16.–17. Dezember 2021, virtuell
  2. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    12.–13. Januar 2022, virtuell
Weitere IT-Trainings

Das Sicherheitsproblem haben die Sicherheitsforscher bereits Anfang Dezember 2020 an Zoom gemeldet. Dort hat man bisher nichts unternommen. Nun ist die übliche Frist für das Beheben von Sicherheitslücken abgelaufen und die Sicherheitsforscher veröffentlichen ihren Fund entsprechend.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Truster 22. Mär 2021

du bist ein richtiger Vollprofi,was? Arbeitest sicher mit 256 Vollbitverschlüsselung...

sh0gun 22. Mär 2021

Das ist halt ganz einfach schlampig oder falsch programmiert. Wenn ich z.B. mit OBS ein...

Dino13 19. Mär 2021

Immer noch etwas suboptimal, wie wäre es mit: "Nicht geteiltes Fenster kann von Zoom...

gelöscht 19. Mär 2021

Na schnell mal die Seite mit dem bösen P-Wort schließen ...



Aktuell auf der Startseite von Golem.de
Bald exklusiv bei Disney+
Serien verschwinden aus Abos von Netflix und Prime Video

Acht Serienklassiker gibt es bald nur noch exklusiv bei Disney+ im Abo. Dazu gehören Futurama, Family Guy und 24.
Von Ingo Pakalski

Bald exklusiv bei Disney+: Serien verschwinden aus Abos von Netflix und Prime Video
Artikel
  1. Chorus im Test: Action im All plus galaktische Grafik
    Chorus im Test
    Action im All plus galaktische Grafik

    Schicke Grafik und ein sprechendes Raumschiff: Chorus von Deep Silver entpuppt sich beim Test als düsteres und spannendes Weltraumspiel.
    Von Peter Steinlechner

  2. Mobilfunkexperte: Afghanischer Ex-Minister hat nach Lieferando einen neuen Job
    Mobilfunkexperte
    Afghanischer Ex-Minister hat nach Lieferando einen neuen Job

    Der frühere afghanische Kommunikationsminister Syed Sadaat arbeitet nicht mehr bei Lieferando in Leipzig. Nun wird er Partner bei einem Maskenhersteller.

  3. Edge-Browser: Microsoft will Installation von Chrome verhindern
    Edge-Browser
    Microsoft will Installation von Chrome verhindern

    Microsoft intensiviert sein Vorgehen gegen andere Browser: Vor der Installation von Chrome wird Edge übertrieben gelobt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Toshiba Canvio 6TB 88€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Netgear günstiger (u. a. 5-Port-Switch 16,89€) • Norton 360 Deluxe 2022 18,99€ • Gaming-Monitore zu Bestpreisen (u. a. Samsung G3 27" FHD 144Hz 219€) • Spiele günstiger (u. a. Hades PS5 15,99€) [Werbung]
    •  /