Zoom es una de las plataformas de videoconferencia más grandes, que brinda el servicio de conectividad de voz, conferencias web, sala de reuniones y chat basado en la nube.
Recientemente la compañía Zoom, ha lanzado parches de seguridad para múltiples vulnerabilidades vistas en su aplicativo de escritorio para clientes Windows y MacOS.
Entre las fallas reveladas se destacan vulnerabilidades con severidad ALTA y puntajes base CVSS que van desde los 7.7 a 8.3, estas se identifican como:
- CVE-2023-28603 (CVSS 7.7): Control de acceso inadecuado en el instalador del cliente Zoom VDI, un usuario malintencionado puede potencialmente eliminar archivos locales sin los permisos adecuados
- CVE-2023-34113 (CVSS 8): Verificación insuficiente de la autenticidad de los datos, permite a un usuario autenticado con acceso a la red realizar escalamiento de privilegios y manejo de datos.
- CVE-2023-34114 (CVSS 8.3): Exposición de un recurso a la esfera de control incorrecta, permite a un usuario autenticado con acceso a la red divulgar información sensible.
Estas vulnerabilidades pueden permitir que un usuario autenticado habilite potencialmente una escalada de privilegios a través del acceso local y la divulgación de información a través del acceso a la red. Los usuarios pueden potencialmente utilizar privilegios de sistema de nivel superior mantenidos por el cliente de Zoom para generar procesos con privilegios escalados.
Productos y Versiones Afectadas:
Zoom para Windows y MacOS en versiones anteriores a la 5.14.0.
Solución:
Actualizaciones recientes con parches de seguridad 5.14.11 (17466) corrigen estas amenazas.
Recomendación:
Se recomienda a todos los usuarios de Zoom que actualicen a las nuevas versiones con los parches de seguridad para mantener protegidos sus sistemas conta estas amenazas.
Referencias: