Zoom ha publicado un boletín de seguridad abordando una vulnerabilidad crítica en sus clientes para Windows. La falla podría permitir a un atacante remoto no autenticado obtener escalación de privilegios mediante acceso a la red, ejecución de código malicioso con permisos elevados, comprometiendo el sistema.
- CVE-2025-49457 (CVSS 9.6): Esta vulnerabilidad radica en una ruta de búsqueda no confiable (untrusted search path), lo que puede permitir que un atacante no autenticado, mediante acceso de red, provoque una elevación de privilegios al cargar una biblioteca manipulada.
Productos afectadas:
Clientes de Zoom para Windows afectados incluyen:
- Zoom Workplace (versiones anteriores a 6.3.10)
- Zoom Workplace VDI (anteriores a 6.3.10, excepto 6.1.16 y 6.2.12)
- Zoom Rooms (anteriores a 6.3.10)
- Zoom Rooms Controller (anteriores a 6.3.10)
- Zoom Meeting SDK (anteriores a 6.3.10)
Solución:
Actualizar todos los clientes de Zoom afectados a la versión 6.3.10 o superior.
Entornos VDI, aplicar las versiones corregidas 6.1.16 o 6.2.12, o superiores.
Recomendaciones:
- Mantenerse informados sobre las actualizaciones de seguridad y las alertas de vulnerabilidad de Zoom. Los usuarios deben estar al tanto de las noticias y actualizaciones relacionadas con la seguridad para actuar rápidamente en caso de nuevas amenazas.
- Utilizar software antivirus y de seguridad en todos los dispositivos. Aunque actualizar Zoom es crucial, también lo es tener una protección de seguridad integral en el dispositivo para defenderse contra malware, ransomware y otros ataques cibernéticos.
Referencias: