Zoom, la reconocida plataforma de videoconferencias utilizada por millones de usuarios, ha identificado varias vulnerabilidades críticas y de nivel medio en sus aplicaciones para escritorio y móviles. La más grave de estas, identificada como CVE-2024-24691, con una puntuación CVSS de 9.6, se describe como una validación insuficiente en la entrada de datos proporcionados por el usuario que podría permitir a un atacante con acceso a la red escalar privilegios. Esta vulnerabilidad, junto con otras identificadas (CVE-2024-24697, CVE-2024-24696, CVE-2024-24695, CVE-2024-24699, CVE-2024-24698, y CVE-2024-24690), podrían permitir a los atacantes desde interrumpir los servicios hasta acceder a información confidencial.
Entre las fallas mencionadas, también destaca la vulnerabilidad CVE-2024-24697, con una puntuación CVSS de 7.2, descrita como un problema de ruta de búsqueda no confiable en ciertos clientes de Zoom para Windows. La explotación exitosa de esta vulnerabilidad puede permitir que un usuario autenticado realice una escalada de privilegios a través del acceso local.
Las vulnerabilidades CVE-2024-24696 y CVE-2024-24695, ambas con puntuación CVSS de 6.8, implican errores de validación insuficiente en la entrada de datos proporcionados por el usuario. Esta falla podría facilitar la divulgación de información sensible a través de la red por usuarios autenticados.
La vulnerabilidad CVE-2024-24699, con una puntuación CVSS de 6.5, representa un error en la lógica empresarial que podría ser explotado para realizar una divulgación de información a través del acceso a la red. Esto subraya la importancia de mantener una supervisión constante de la autenticidad y la lógica de operación de la aplicación.
La vulnerabilidad CVE-2024-24690, con una puntuación CVSS de 5.4, es una falla de validación insuficiente en la entrada de datos proporcionados por el usuario. Esta falla puede permitir que un usuario autenticado realice una denegación de servicio a través del acceso a la red.
La vulnerabilidad CVE-2024-24698, con una puntuación CVSS de 4.9, es una falla de autenticación inadecuada en algunos clientes de Zoom puede permitir que un usuario privilegiado realice una divulgación de información a través del acceso local.
Versiones Afectadas
Para CVE-2024-24691, las versiones afectadas son:
- Zoom Desktop Client para Windows: Antes de la versión 5.16.5.
- Zoom VDI Client para Windows: Antes de la versión 5.16.10, excluyendo las versiones 5.14.14 y 5.15.12.
- Zoom Meeting SDK para Windows: Antes de la versión 5.16.5.
Para CVE-2024-24697, las versiones afectadas son:
- Zoom Desktop Client para Windows, Zoom Meeting SDK para Windows, Zoom Rooms Client para Windows: Antes de la versión 5.17.0.
- Zoom VDI Client para Windows: Antes de la versión 5.17.5, excluyendo las versiones 5.15.15 y 5.16.12.
Para CVE-2024-24696 y CVE-2024-24695, las versiones afectadas son:
- Zoom Desktop Client para Windows, Zoom VDI Client para Windows, Zoom Meeting SDK para Windows: Antes de la versión 5.17.0.
Para CVE-2024-24699, las versiones afectadas son:
- Zoom Desktop Client para Windows, Zoom Meeting SDK para Windows: Antes de la versión 5.16.5.
- Zoom Rooms Client para Windows: Antes de la versión 5.17.0.
- Zoom VDI Client para Windows: Antes de la versión 5.16.10, excluyendo las versiones 5.14.14 y 5.15.12.
Para CVE-2024-24690, las versiones afectadas son:
- Zoom Desktop Client para Windows, macOS, Linux, Zoom Video SDK para Windows, Zoom Meeting SDK para Windows: Antes de la versión 5.16.5.
- Zoom Rooms Client para Windows: Antes de la versión 5.17.0.
- Zoom VDI Client para Windows: Antes de la versión 5.16.10, excluyendo las versiones 5.14.14 y 5.15.12.
- Zoom Mobile App para Android, iOS: Antes de la versión 5.16.5.
Para CVE-2024-24698, las versiones afectadas son:
- Zoom Desktop Client para Windows, macOS, Linux, Zoom Meeting SDK para Windows, Zoom Rooms Client para Windows: Antes de la versión 5.17.0.
- Zoom VDI Client para Windows: Antes de la versión 5.17.5, excluyendo las versiones 5.15.15 y 5.16.12.
- Zoom Mobile App para Android, iOS: Antes de la versión 5.17.0.
Solución
La solución general para las vulnerabilidades mencionadas en Zoom es actualizar a la versión más reciente del software proporcionada por el proveedor (5.17.7). De esta forma se aborda los problemas de seguridad identificados y se mejora la protección contra posibles explotaciones.
Los usuarios deben visitar el sitio oficial de Zoom o plataformas confiables de descarga de software para obtener la versión actualizada y seguir las instrucciones para una instalación exitosa. Mantener el software al día es crucial para la seguridad de las comunicaciones digitales.
Recomendaciones
- Promover prácticas de seguridad entre los usuarios de Zoom, incluyendo la importancia de mantener el software actualizado y seguir las mejores prácticas de seguridad digital.
- Implementar lo antes posible la última versión de Zoom para abordar las vulnerabilidades identificadas.
Referencias
- https://www.zoom.com/en/trust/security-bulletin/ZSB-24008/
- https://www.zoom.com/en/trust/security-bulletin/ZSB-24004/
- https://www.zoom.com/en/trust/security-bulletin/ZSB-24003/
- https://www.zoom.com/en/trust/security-bulletin/ZSB-24002/
- https://www.zoom.com/en/trust/security-bulletin/ZSB-24006/
- https://www.zoom.com/en/trust/security-bulletin/ZSB-24005/
- https://www.zoom.com/en/trust/security-bulletin/ZSB-24007/