Numerosas vulnerabilidades detectadas en Zoom

Zoom, la plataforma líder en videoconferencia, ofrece una amplia gama de servicios en la nube, adecuados para usuarios individuales y grandes empresas, que van desde la comunicación por voz hasta salas de reuniones virtuales.

El equipo de seguridad ofensiva de Zoom recientemente ha descubierto vulnerabilidades clasificadas como de ALTA y MEDIA severidad, con calificaciones que oscilan entre 6.5 y 7.2 en la escala base CVSS.

CVE-2023-39208 (CVSS 6.5): Validación de entrada inadecuada puede ser aprovechada por usuarios no autenticados para realizar ataques de tipo “Distributed Denial of Service” (DdoS) en la red.

CVE-2023-39215 (CVSS 7.1): Autenticación inadecuada en los clientes de Zoom posibilita que usuarios no identificados lleven a cabo ataques DDoS a través de la red.

CVE-2023-39201 (CVSS 7.2): Ruta de búsqueda ambigua en Clean Zoom, antes de julio del 2023, permite a usuario privilegiados realizar una “Privilege Escalation” a través del acceso local.

Producto y Versiones afectadas

CVEVersiónProducto Afectado
CVE-2023-39208Versiones anteriores a las 5.15.10Zoom Desktop Client (Linux)
CVE-2023-39215Versiones anteriores a las 5.15.10Zoom Desktop Client (Windows, MacOS y Linux), Zoom Mobile App (Android y IOS) y Zoom Meeting SDK’s
CVE-2023-39215  Versiones anteriores a las 5.14.12 y 5.15.4Zoom VDI Client
CVE-2023-39201Versiones de archivos previos al 07/24/2023CleanZoom

Solución

Actualizar el cliente Zoom a sus últimas versiones disponibles:

  • Zoom Desktop Client (Linux) Versión 5.15.10
  • Zoom Desktop Client (Windows, masOS y Linux), Zoom Mobile App (Android y IOS) y Zoom Meeting SDK’s  Versión 5.15.10
  • Zoom VDI Client Versión 5.14.12 y 5.15.4
  • CleanZoom Versiones de archivos en la fecha actual o más reciente.

Recomendación

  • Los usuarios pueden ayudar a mantenerse seguros verificando si existen actualizaciones disponibles, o realizando la actualización e instalación manual en  https://zoom.us/download.

Referencias

  • https://explore.zoom.us/en/trust/security/security-bulletin/?filter-cve=&filter=&keywords=CVE-2023-39208
  • https://explore.zoom.us/en/trust/security/security-bulletin/?filter-cve=&filter=&keywords=CVE-2023-39215