Project Zero de Google reporta graves vulnerabilidades en Zoom

Los fallos de seguridad fueron descubiertos e informados por la experta Natalie Silvanovich perteneciente al Proyecto de Google conocido como " Project Zero", estas vulnerabilidades afectan al cliente Zoom en todas las plataformas principales ( Windows, macOS, Linux, iOS y Android ) y podrían explotarse para ataques de ejecución de código (RCE).

La empresa creadora del software de videoconferencia Zoom ya ha publicado parches de seguridad para solventar estas vulnerabilidades que exponen a los usuarios de todas las plataformas a ataques de cibercriminales maliciosos, por lo que se recomienda actualizar a la última versión del producto para reducir riesgos de seguridad.

“Esto puede potencialmente permitir que un actor malintencionado bloquee el servicio o la aplicación, o aproveche esta vulnerabilidad para ejecutar código arbitrario” , dijo Zoom en un aviso básico que enumera una gama de productos afectados. El error se describe como un desbordamiento de búfer (buffer overflow) con una puntuación base CVSS de 7,3.

Zoom también solucionó una segunda vulnerabilidad de corrupción de memoria ( CVE-2021-34424) que permitía exponer el estado de la memoria del proceso en múltiples productos y componentes.

"Este problema podría usarse para potencialmente obtener información sobre áreas arbitrarias de la memoria del producto" , según el aviso de Zoom.

Aquí está la lista completa de productos Zoom afectados:

• - Cliente Zoom para reuniones (para Android, iOS, Linux, macOS y Windows) antes de la versión 5.8.4
• - Zoom Client for Meetings para Blackberry (para Android e iOS) antes de la versión 5.8.1
• - Zoom Client for Meetings para intune (para Android e iOS) antes de la versión 5.8.4
• - Zoom Client for Meetings para Chrome OS antes de la versión 5.0.1
• - Zoom Rooms para salas de conferencias (para Android, AndroidBali, macOS y Windows) antes de la versión 5.8.3
• - Controladores para Zoom Rooms (para Android, iOS y Windows) antes de la versión 5.8.3
• - Zoom VDI antes de la versión 5.8.4
• - Zoom Meeting SDK para Android antes de la versión 5.7.6.1922
• - Zoom Meeting SDK para iOS anterior a la versión 5.7.6.1082
• - Zoom Meeting SDK para macOS antes de la versión 5.7.6.1340
• - Zoom Meeting SDK para Windows antes de la versión 5.7.6.1081
• - Zoom Video SDK (para Android, iOS, macOS y Windows) antes de la versión 1.1.2
• - Controlador Zoom On-Premise Meeting Connector antes de la versión 4.8.12.20211115
• - Conector de reunión local de Zoom MMR antes de la versión 4.8.12.20211115
• - Conector de grabación local de Zoom antes de la versión 5.1.0.65.20211116
• - Zoom On-Premise Virtual Room Connector antes de la versión 4.4.7266.20211117
• - Balanceador de carga del conector de sala virtual en las instalaciones de Zoom antes de la versión 2.5.5692.20211117
• - Zoom Hybrid Zproxy antes de la versión 1.0.1058.20211116
• - Zoom Hybrid MMR antes de la versión 4.6.20211116.131_x86-64

Zoom también agregó un nuevo mecanismo de actualización automática a la versión de escritorio del software para ayudar a los usuarios a encontrar y aplicar parches de seguridad de manera oportuna.

A principios de este mes, Zoom parchó varias vulnerabilidades de seguridad de alto riesgo que afectaban a instancias on-premise con su software Meeting Connector y al popular Keybase Client.

Etiquetas: ciberseguridad, ethical hacking, exploit, fallo, google, hacking, infosec, pentesting, project zero, seguridad, vulnerabilidad