Un atacante podría explotar la vulnerabilidad CVE-2022-28763 utilizando una URL de reunión de Zoom especialmente diseñada para redirigir a una víctima a sitios web maliciosas. Actualiza Zoom

El popular servicio de videoconferencia Zoom ha  resuelto una vulnerabilidad de alta gravedad que expone a los usuarios a ataques de phishing.

La vulnerabilidad, que tiene una puntuación de gravedad CVSS de 8,8/10, está documentada como un análisis de URL inadecuado en los clientes de Zoom. La vulnerabilidad, rastreada como CVE-2022-28763, afecta a Zoom Client for Meetings para Android, iOS, Linux, macOS y Windows antes de la versión 5.12.2, Zoom VDI Windows Meeting Clients antes de la versión 5.12.2 y Zoom Rooms para Conference Room. para Android, iOS, Linux, macOS y Windows antes de la versión 5.12.2. La compañía le dio crédito a su equipo de seguridad interna por encontrar la vulnerabilidad.

“El Zoom Client for Meetings (para Android, iOS, Linux, macOS y Windows) anterior a la versión 5.12.2 es susceptible a una vulnerabilidad de análisis de URL. 
Si se abre una URL de reunión de Zoom maliciosa, el enlace malicioso puede dirigir al usuario a conectarse a una dirección de red arbitraria, lo que lleva a ataques adicionales que incluyen tomas de control de sesión”,  dijo Zoom en una nota.

Un atacante podría explotar la vulnerabilidad CVE-2022-28763 utilizando una URL de reunión de Zoom especialmente diseñada para redirigir a una víctima a sitios web arbitrarios.

La semana pasada, Zoom abordó dos vulnerabilidades (CVE-2022-28762 y CVE-2022-28761) que podrían conectarse y controlar las aplicaciones de Zoom que se ejecutan en el cliente de Zoom y evitar que los participantes reciban audio y video que causen interrupciones en la reunión.

Se recomienda a los usuarios de la aplicación que actualicen a la última versión (5.12.2) para mitigar cualquier amenaza potencial que surja de la explotación activa de las vulnerabilidades.