Zoom corrige 4 fallas de seguridad

En un último boletín de alerta, el especialista en videoconferencias Zoom ha publicado una actualización correctiva 5.10.0 relativa en particular al Cliente para Reuniones para Android, iOS, Linux, macOS y Windows. Un investigador de seguridad del Proyecto Cero de Google ha detallado una cadena de vulnerabilidad que explota el protocolo XMPP.

El proveedor de videoconferencias Zoom ha cerrado una salva de 4 vulnerabilidades de seguridad que afectan a sus productos Client for Meetings para Android, iOS, Linux, macOS y Windows, así como a Rooms for Conference Room para Windows. Se recomienda a todos los usuarios aplicar la actualización correctiva incluida en la v5.10.0 de sus soluciones lo antes posible. Las 4 fallas, CVE-2022-22787, CVE-2022-22786, CVE-2022-22785 y CVE-2022-22784 son parte de una cadena de vulnerabilidades detallada por el investigador de seguridad Ivan Fratric que trabaja para Project Zero de Google.

“La vulnerabilidad inicial (denominada XMPP Stanza Smuggling) explota las inconsistencias de análisis entre los analizadores XML en el cliente y el servidor de Zoom para que pueda pasar scripts XMPP arbitrarios al cliente de destino”, dijo Fratric. “Al enviar un comando de control específico, el atacante puede obligar al cliente víctima a conectarse a un servidor malicioso, transformando así este ataque primitivo en un ataque de intermediario”. Con el riesgo de que el objetivo descargue una actualización maliciosa comprometida que permite al atacante ejecutar código arbitrario.

Un puntaje CVSS máximo de 8.1

El investigador de Project Zero validó este escenario de compromiso en la versión 5.9.3 de los productos Client for Meetings para Android, iOS, Linux, macOS y Windows, así como Rooms for Conference Room para Windows. Pero otras plataformas probablemente se vean afectadas. Zoom fue informado de estas fallas en febrero pasado y desde entonces ha realizado las correcciones en la última versión 5.10.0, que los usuarios, por lo tanto, tienen mucho interés en aplicar. Las puntuaciones CVSS de estas vulnerabilidades cuyo nivel de peligrosidad se considera moderado o alto, oscilan entre 5,9 y 8,1.

Salir de la versión móvil