Cisco Talos descubrió recientemente dos vulnerabilidades en la popular aplicación de video chat de Zoom que podrían permitir a un usuario malintencionado ejecutar código arbitrario en las máquinas de las víctimas.
Ambas fallas en cuestión son vulnerabilidades path traversal que pueden explotarse para escribir o plantar archivos arbitrarios en los sistemas que ejecutan versiones vulnerables del software de videoconferencia con el fin de ejecutar código malicioso.
Según los investigadores, la explotación exitosa de ambas fallas requiere poca o ninguna interacción por parte de los participantes del chat y puede ejecutarse simplemente enviando mensajes especialmente diseñados a través de la función de chat de ZOOM a un individuo o grupo.
El primer fallo (CVE-2020-6109) reside en la forma en que Zoom aprovechaba el servicio GIPHY para permitir a sus usuarios buscar e intercambiar GIFs animados mientras chatean. Los investigadores encontraron que las versiones vulnerables de la aplicación Zoom no verificaban si un GIF compartido era cargado desde el servicio Giphy o no, lo que permite que un atacante incrustar el GIF desde un servidor controlado por atacante de terceros.
El segundo fallo (CVE-2020-6110) reside en la forma en que las versiones vulnerables de la aplicación Zoom procesan fragmentos de código compartidos a través del chat.
Los investigadores de Cisco Talos probaron ambos fallos en la versión 4.6.10 de la aplicación cliente Zoom. Zoom parchó ambas vulnerabilidades críticas con el lanzamiento de la versión 4.6.12 de su software de videoconferencia para computadoras Windows, macOS o Linux.
Se recomienda actualizar la aplicación Cliente Zoom a su última versión disponible Versión 5.0.5 publicada desde su página oficial.
Referencias:
https://blog.talosintelligence.com/2020/06/vuln-spotlight-zoom-code-execution-june-2020.html
https://thehackernews.com/2020/06/zoom-video-software-hacking.html