Zoom Video Communications ha emitido un boletín de seguridad para abordar varias vulnerabilidades críticas en sus aplicaciones Workplace, SDKs y Rooms Clients en diversas plataformas. Estas fallas de seguridad permiten a los atacantes escalar privilegios, acceder a información sensible y, en algunos casos, ejecutar código arbitrario.
- CVE-2024-45421 (CVSS 8.5): Una vulnerabilidad de desbordamiento de búfer que permite a un usuario autenticado ganar privilegios elevados mediante el acceso a la red. Al explotar esta falla, un atacante podría ejecutar código o realizar acciones a un nivel de privilegio superior al permitido originalmente.
- CVE-2024-45419 (CVSS 8.1): Esta vulnerabilidad surge de una validación inadecuada de entradas, lo que permite a un atacante no autenticado acceder a información sensible a través de la red.
- CVE-2024-45422 (CVSS 6.5): Una vulnerabilidad provocada por validación inadecuada de entradas que permite la manipulación no autorizada de datos en la aplicación, lo que podría comprometer la integridad de los datos o abrir puertas a accesos indebidos en el sistema.
- CVE-2024-45417 (CVSS 6.0): Esta vulnerabilidad de consumo incontrolado de recursos podría afectar la estabilidad de la aplicación. Esta falla permite a un atacante realizar actividades que incrementen el uso de recursos, lo que potencialmente ralentizaría o interrumpiría el servicio.
- CVE-2024-45418 (CVSS 5.4): Una vulnerabilidad que permite el seguimiento de enlaces simbólicos, lo cual expone el sistema a accesos no autorizados y aumenta el riesgo de manipulación de archivos críticos mediante rutas indirectas.
- CVE-2024-45420 (CVSS 4.3): Otra vulnerabilidad permite un consumo incontrolado de recursos, la cual lleva a la degradación del rendimiento de la aplicación. Un atacante podría aprovechar este fallo para afectar la disponibilidad de la aplicación o provocar la ralentización del sistema.
| CVE | Producto Afectado | Versión Afectada | Solución |
| CVE-2024-45421 CVE-2024-45419 | Zoom Workplace App para Windows, macOS, iOS, Android, y Linux. | Versiones anteriores a la 6.2.0. | Actualizar a la versión 6.2.0 o posterior. |
| Zoom Workplace VDI Client para Windows. | |||
| Zoom Rooms Client para Windows, macOS y iPad. | |||
| Zoom Rooms Controller para Windows, macOS, Android, y Linux. | |||
| Zoom Video SDK para Windows, macOS, iOS, Android, y Linux. | |||
| Zoom Meeting SDK para Windows, macOS, iOS, Android, y Linux. | |||
| CVE-2024-45422 | Zoom Workplace App para Windows, macOS, iOS, Android, y Linux. | ||
| Zoom Rooms Client para Windows, macOS, y iPad. | |||
| Zoom Rooms Controller para Windows, macOS, Android, y Linux. | |||
| Zoom Video SDK para Windows, macOS, iOS, Android, y Linux. | |||
| Zoom Meeting SDK para Windows, macOS, iOS, Android, y Linux. | |||
| CVE-2024-45417 | Zoom Workplace App para macOS. | Versiones anteriores a la 6.1.5. | |
| Zoom Meeting SDK para macOS. | |||
| CVE-2024-45418 | Zoom Video SDK para macOS. | ||
| Zoom Rooms App para macOS. | |||
| CVE-2024-45420 | Zoom Workplace App para Windows, macOS, iOS, Android, y Linux. | Versiones anteriores a la 6.2.0. | |
| Zoom Rooms Client para Windows, macOS y iPad. | |||
| Zoom Rooms Controller para Windows, macOS, Android, y Linux. | |||
| Zoom Video SDK para Windows, macOS, iOS, Android, y Linux. | |||
| Zoom Meeting SDK para Windows, macOS, iOS, Android, y Linux. |
Recomendaciones:
- Actualizar de inmediato las aplicaciones de Zoom a la versión más reciente para garantizar la mitigación de riesgos.
- Verificar las configuraciones de seguridad en los entornos de trabajo para limitar el acceso no autorizado a recursos sensibles.
- Implementar un monitoreo continuo para identificar comportamientos anómalos que puedan indicar intentos de explotación de estas vulnerabilidades.
Referencias: