Die beiden Videokonferenzlösungen Meeting Owl Pro und Whiteborad Owl des Herstellers Owl Labs sind verwundbar. Sicherheitsforscher von Modzero sind insgesamt auf fünf Sicherheitslücken gestoßen, über die Angreifer unter anderem in Netzwerke schlüpfen könnten. Bislang wurde nur eine Schwachstelle geschlossen. In einem ausführlichen Report führt das Forschungsteam Informationen zu den Lücken aus. Eine Schwachstelle (CVE-2022-31462) ist als „kritisch“ eingestuft. Angreifer könnten in Bluetooth-Reichweite über ein hartcodiertes Passwort die Kontrolle über Geräte erlangen. Die verbleibenden Lücken sind mit dem Bedrohungsgrad „hoch“ versehen. Auch an diesen Stellen könnten Angreifer mit vergleichsweise wenig Aufwand etwa auf Passcode-Hashes zugreifen oder den PIN-Schutz umgehen, um sich unberechtigten Zugang zu Geräten zu verschaffen. In diesen Positionen könnten Angreifer beispielsweise vertrauliche Firmen-Interna einer Präsentation mitschneiden oder sich sogar Zugang zum Netzwerk verschaffen. Die Sicherheitsforscher geben an, den Hersteller erstmalig im Januar 2022 kontaktiert zu haben. Die Kommunikation sei nur schwer in Gang gekommen. Ab Mitte März wollte der Hersteller dann Sicherheitsupdates veröffentlichen. Das ist aber erst jetzt mit der Version 5.4.1.4 geschehen und darin haben die Entwickler nur eine (CVE-2022-31460) der fünf Lücken geschlossen. Immerhin können Angreifer nun die vor dem Update nicht optimal konfigurierte Access-Point-Funktion der Videokonferenzlösungen nicht mehr als Sprungbrett in Netzwerke missbrauchen. In einem Beitrag versichert Owl Labs, dass nach der Installation der aktuellen Ausgabe Angreifer über die Lücken nicht mehr unbefugt auf Netzwerke zugreifen können. Vier der Lücken sind aber immer noch offen, weshalb die Formulierung komisch klingt. Die ausstehenden Sicherheitsupdates sollen die „nächsten Wochen“ erscheinen.