Resumo
A Zoom tem analisado nossos produtos e serviços para identificar e mitigar as vulnerabilidades do Apache Log4j divulgadas nos CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 e CVE-2021-44832. A Zoom continua a mitigar e corrigir as versões vulneráveis do Log4j de acordo com as recomendações da Apache. Planejamos atualizar as instâncias vulneráveis identificadas do Log4j com a versão mais recente disponível à medida que elas se tornam disponíveis e após testá-las.
Resolver essas vulnerabilidades é uma das principais prioridades da Zoom. Estamos monitorando de perto a situação e trabalhando de forma dedicada para resolvê-las o mais rápido possível. Esta página será atualizada à medida que informações pertinentes estiverem disponíveis.
Com base nas descobertas feitas até o momento, destacamos abaixo a situação atual dos produtos e dos serviços Zoom.
| Produtos e serviços Zoom | Status |
|---|---|
| Zoom Meetings, Zoom Events, Zoom Webinars, OnZoom | Os clientes Zoom para Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (e plugin VDI) e clientes Web não usam as versões vulneráveis do Log4j. Não é necessária nenhuma ação por parte dos usuários neste momento. |
| Back-end de produção do Zoom (excluindo o software comercial de terceiro)* | O back-end de produção do Zoom (excluindo o software comercial de terceiro) foi atualizado para a versão 2.16.0 do Log4j como versão mínima ou mitigada para neutralizar os problemas identificados em CVE 2021-44228 e CVE-2021-45046. O Zoom conduziu uma avaliação dos problemas apresentados em CVE-2021-44832 e CVE-2021-45105, tendo determinado que nosso back-end de produção não é vulnerável, haja vista as condições necessárias para exploração. |
| Software comercial de terceiro do back-end de produção do Zoom | Estamos avaliando a situação com nossos fornecedores terceirizados de software comercial. Temos aplicado quaisquer atualizações assim que elas ficam disponíveis e planejamos continuar fazendo isso. Os principais fornecedores terceirizados de software de terceiros da Zoom foram atualizados ou mitigados. |
| Zoom para o governo | Os clientes Zoom para Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (e plugin VDI) e clientes Web não usam as versões vulneráveis do Log4j. Não é necessária nenhuma ação por parte dos usuários neste momento. |
| Zoom Phone | Os clientes do Zoom Phone não usam as versões vulneráveis do Log4j. Não é necessária nenhuma ação por parte dos usuários neste momento. |
| Zoom Rooms e Zoom for Home | Os clientes do Zoom Rooms e do Zoom for Home não usam as versões vulneráveis do Log4j. Não é necessária nenhuma ação por parte dos usuários neste momento. |
| Zoom Team Chat | Os clientes do Zoom Team Chat não usam as versões vulneráveis do Log4j. Não é necessária nenhuma ação por parte dos usuários neste momento. |
| Zoom Marketplace | Para o nosso backend, aplicamos as mitigações recomendadas pela Apache e atualizamos todos os sistemas identificados até o momento para a versão 2.16.0 do Log4j como a versão mínima. Não é necessária nenhuma ação por parte dos usuários neste momento. |
| APIs e SDKs da Plataforma do desenvolvedor do Zoom | Os SDKs do Zoom não usam as versões vulneráveis do Log4j. Não é necessária nenhuma ação por parte dos usuários neste momento. |
| Implantação do Zoom no local | O Zoom Hybrid MMR, CSV, Conector de reunião, Conector de API e Conector de gravação não usam as versões vulneráveis do Log4j. |
| Serviços prestados por terceiros | Estamos em processo de avaliar a situação com os terceirizados. |
| Parceiros de dispositivos do Zoom Phone e Zoom Rooms | Nossos parceiros de dispositivos do Zoom Phone e Zoom Rooms confirmaram que não foram afetados. |
| Zoom Apps | Nossos desenvolvedores terceirizados do Zoom Apps confirmaram que todos os aplicativos Zoom que usavam alguma versão vulnerável do Log4j foram atualizados ou mitigados. |
Nota do editor: Este boletim foi editado em 14 de janeiro de 2022 para incluir as informações mais atuais sobre a resposta do Zoom às vulnerabilidades CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 e CVE-2021-44832.