Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a productos Zoom, que permitirían a un atacante realizar divulgación de información, escalamiento de privilegios, entre otros.
Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Crítica”, 5 (cinco) de severidad “Alta” y 5 (cinco) de severidad “Media”. Las principales se detallan a continuación:
- CVE-2023-39216, de severidad “Crítica”, con una puntuación asignada de 9.6. Esta vulnerabilidad se debe a la validación incorrecta de entrada de datos en Zoom Desktop Client para Windows. Esto permitiría a atacante no autenticado en la red a través del envío de mensajes especialmente diseñados a un usuario de Zoom, realizar escalamiento de privilegios a administrador del sistema afectado.
- CVE-2023-36534, de severidad “Critica”, con una puntuación asignada de 9.3. Esta vulnerabilidad del tipo Path traversal se debe a una falla de seguridad en Zoom Desktop Client para Windows. Esto permitiría a un atacante autenticado a través del acceso local, realizar escalamiento de privilegios en el sistema afectado.
- CVE-2023-39211, de severidad “Alta”, con una puntuación asignada de 8.8. Esta vulnerabilidad se debe a una falla de gestión de privilegios en Zoom Desktop Client para Windows y Zoom Rooms para Windows. Esto permitiría a un atacante autenticado a través del acceso local, realizar divulgación de información confidencial en el sistema afectado.
Puede acceder al listado completo de vulnerabilidades aquí.
Algunos productos afectados son:
- Zoom Desktop Client (para Windows), versiones anteriores a 5.14.7.
- Zoom Desktop Client (para macOS y Linux), versiones anteriores a 5.14.10.
- Zoom Clients (para Windows), versiones anteriores a 5.14.10.
- Zoom Mobile App (para iOs y Android), versiones anteriores a 5.14.10.
Puede acceder al listado completo de productos afectados aquí.
Recomendamos instalar las actualizaciones correspondientes provistas por Zoom en el siguiente enlace:
Referencias:
- https://securityonline.info/zoom-releases-patches-for-multiple-critical-security-vulnerabilities/
- https://nvd.nist.gov/vuln/detail/CVE-2023-39216
- https://nvd.nist.gov/vuln/detail/CVE-2023-36534
- https://nvd.nist.gov/vuln/detail/CVE-2023-39211
- https://explore.zoom.us/en/trust/security/security-bulletin/
- https://zoom.us/download