Sicherheitslücke: Zoom leakt nicht freigegebene Fenster

Statt einer geteilten Präsentation bekommen Videokonferenz-Teilnehmer unter bestimmten Umständen kurzzeitig ein anderes Fenster zu Gesicht.

Artikel veröffentlicht am ,
Wenn statt der Matheaufgabe plötzlich Privates auf dem Bildschirm auftaucht ...
Wenn statt der Matheaufgabe plötzlich Privates auf dem Bildschirm auftaucht ... (Bild: Hatice EROL/Pixabay)

Wie viele andere Videokonferenzdienste unterstützt Zoom auch die Funktion, den Bildschirm zu teilen, um beispielsweise Präsentationen anzuzeigen. Doch über eine Sicherheitslücke in Zoom können ungewollt auch andere Fenster oder der Desktop geteilt werden, wie die Sicherheitsforscher Michael Strametz und Matthias Deeg von der Pentesting-Firma Syss herausgefunden haben.

Stellenmarkt
  1. Scrum Master m/w/d
    Elektrophoenix GmbH, Blomberg
  2. Firewall- und Netzwerkengineer (m/w/d)
    Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), München, Bayreuth
Detailsuche

So könne bei der Bildschirmfreigabe der komplette Desktop oder ausgewählte Fenster geteilt werden. Doch auch wenn beispielsweise nur ein Präsentationsfenster geteilt werde, könnten andere Fenster - die nicht explizit freigegeben wurden - von anderen Meeting-Teilnehmern gesehen werden, erklären die Sicherheitsforscher.

Kurzzeitiges Datenleck kann aufgezeichnet werden

Das geschehe, wenn ein nicht freigegebenes Anwendungsfenster kurzzeitig ein freigegebenes Anwendungsfenster überlagere und so in den Fokus gerate. "Abhängig von den ungewollt freigegebenen Daten kann diese kurze Exposition von Bildschirminhalten ein mehr oder weniger schwerwiegendes Sicherheitsproblem darstellen", schreiben die Sicherheitsforscher.

Zwar würden die geleakten Informationen nur kurzzeitig eingeblendet, doch wenn eine am Meeting teilnehmende Person das aufnehme, beispielsweise mit einem Screenrecorder, könne sie einfach zurückspulen und die unfreiwillig geteilten Informationen in Ruhe studieren, geben Strametz und Deeg zu bedenken. Betroffen seien sowohl die aktuelle Windows- als auch die Linux-Version des Zoom-Clients.

Golem Karrierewelt
  1. First Response auf Security Incidents: Ein-Tages-Workshop
    28.02.2023, Virtuell
  2. Data Engineering mit Python und Spark: virtueller Zwei-Tage-Workshop
    18./19.01.2023, Virtuell
Weitere IT-Trainings

Das Sicherheitsproblem haben die Sicherheitsforscher bereits Anfang Dezember 2020 an Zoom gemeldet. Dort hat man bisher nichts unternommen. Nun ist die übliche Frist für das Beheben von Sicherheitslücken abgelaufen und die Sicherheitsforscher veröffentlichen ihren Fund entsprechend.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Truster 22. Mär 2021

du bist ein richtiger Vollprofi,was? Arbeitest sicher mit 256 Vollbitverschlüsselung...

sh0gun 22. Mär 2021

Das ist halt ganz einfach schlampig oder falsch programmiert. Wenn ich z.B. mit OBS ein...

Dino13 19. Mär 2021

Immer noch etwas suboptimal, wie wäre es mit: "Nicht geteiltes Fenster kann von Zoom...

gelöscht 19. Mär 2021

Na schnell mal die Seite mit dem bösen P-Wort schließen ...



Aktuell auf der Startseite von Golem.de
25 Jahre Mars Attacks!
"Aus irgendeinem merkwürdigen Grund fehl am Platz"

Viele Amerikaner fanden Tim Burtons Mars Attacks! nicht so witzig, aber der Rest der Welt lacht umso mehr - bis heute, der Film ist grandios gealtert.
Von Peter Osteried

25 Jahre Mars Attacks!: Aus irgendeinem merkwürdigen Grund fehl am Platz
Artikel
  1. NIS 2 und Compliance vs. Security: Kann Sicherheit einfach beschlossen werden?
    NIS 2 und Compliance vs. Security
    Kann Sicherheit einfach beschlossen werden?

    Mit der NIS-2-Richtlinie will der Gesetzgeber für IT-Sicherheit sorgen. Doch gut gemeinte Regeln kommen in der Praxis nicht immer unbedingt auch gut an.
    Von Nils Brinker

  2. Cosmoteer im Test: Factorio im Weltraum
    Cosmoteer im Test
    Factorio im Weltraum

    Eine einzige Person hat über viele Jahre die Sandbox Cosmoteer entwickelt. Dort bauen wir Raumschiffe und kämpfen im All. Achtung, Suchtpotenzial!
    Ein Test von Oliver Nickel

  3. Artemis I: Orion-Kapsel ist in Mondorbit eingeschwenkt
    Artemis I
    Orion-Kapsel ist in Mondorbit eingeschwenkt

    Die Testmission für Mondlandungen der Nasa Artemis I hat den Mond erreicht. In den kommenden Tagen macht sich die Orion-Kapsel auf den Rückweg.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday bei Mindfactory, MediaMarkt & Saturn • Prime-Filme leihen für je 0,99€ • WD_BLACK SN770 500GB 49,99€ • GIGABYTE Z690 AORUS ELITE 179€ • Seagate FireCuda 530 1TB 119,90€ • Crucial P3 Plus 1TB 81,99 & P2 1TB 67,99€ • Alpenföhn Wing Boost 3 ARGB 120 3er-Pack 42,89€ [Werbung]
    •  /