La plataforma de videoconferencia Zoom lanza parches de seguridad para abordar una nueva vulnerabilidad de severidad media identificada como CVE-2023-36539 con una puntuación CVSS 5.3.
Zoom encripta los mensajes de chat usando una clave por cada reunión y luego transmite estos mensajes encriptados entre los dispositivos de los usuarios y Zoom usando encriptación TLS.
En los productos afectados, también se envía una copia de cada mensaje de chat en la reunión encriptado solo con TLS y no con la clave por reunión, lo cual permitiría a un atacante visualizar los mensajes sin la necesidad de tener la clave de la reunión, también se ven afectados los mensajes enviados durante las reuniones con cifrado de extremo a extremo (E2EE).
La explotación exitosa de esta vulnerabilidad puede dar lugar a la filtración de datos.
Productos afectados
| Producto | Windows | macOS | Linux | iOS | Android | iPad |
| Zoom Desktop Client | 5.15.0 5.15.1 | 5.15.0 | 5.15.0 | – | – | – |
| Zoom Mobile App | – | – | – | 5.15.0 | 5.15.0 | – |
| Zoom Rooms | 5.15.0 | 5.15.0 | – | – | – | 5.15.0 |
| Zoom Meeting SDK | 5.15.0 | 5.15.0 | – | 5.15.0 | 5.15.0 | – |
Otros productos afectados:
- Zoom Phone Appliance versión 5.15.0.
- Zoom Video SDK versión 1.8.0.
Solución
Aplicar las últimas actualizaciones o descargar el último software disponible con todas las actualizaciones de seguridad actuales desde la página oficial de descargas de Zoom.
Recomendaciones
- Aplicar las actualizaciones más recientes disponibles.
- Evitar usar el chat en la reunión mientras se encuentran en las versiones afectadas.
Referencias