Vulnerabilidad día cero en Zoom afecta a usuarios de Linux, Windows, Apple y Android

Los equipos de seguridad de Zoom anunciaron el lanzamiento de parches para dos vulnerabilidades que podrían afectar a los usuarios de Windows, iOS, macOS, Android y Linux. Reportadas por Google Project Zero, las fallas residen en el cliente Zoom para las principales plataformas y su explotación permitiría el despliegue de ataques de ejecución de código.

Identificada como CVE-2021-34423, la primera de las fallas es considerada de alta severidad y también podrían afectar otros componentes y kits de desarrollo de software (SDK). Acorde a Zoom: “esto permitiría a los actores de amenazas bloquear el servicio o la aplicación afectada, además de la ejecución de código arbitrario”.

La segunda vulnerabilidad, identificada como CVE-2021-34424, fue descrita como un error de corrupción de memoria que permitiría exponer el estado de la memoria de proceso en diversos procesos en múltiples productos y componentes: “La falla podría ser explotada para obtener información sobre áreas arbitrarias en la memoria del producto afectado”, señala el reporte.

Entre los productos afectados se encuentran:

  • Zoom Client for Meetings para Android, iOS, Linux, macOS y Windows, versiones anteriores a 5.8.4
  • Zoom Client for Meetings para Blackberry (iOS y Android) versiones anteriores a 5.8.1
  • Zoom Client for Meetings para intune (iOS y Android), versiones anteriores a 5.8.4
  • Zoom Client for Meetings para Chrome, versiones anteriores a 5.0.1
  • Zoom Rooms para Conference Room (Android, AndroidBali, macOS, y Windows), versiones anteriores a 5.8.3
  • Controladores para Zoom Rooms (iOS, Android y Windows) anteriores a v5.8.3
  • Zoom VDI anteriores a v5.8.4
  • Zoom Meeting SDK para Android, versiones anteriores a 5.7.6.1922
  • Zoom Meeting SDK para iOS, versiones anteriores a 5.7.6.1082
  • Zoom Meeting SDK para macOS, versiones anteriores a 5.7.6.1340
  • Zoom Meeting SDK para Windows, versiones anteriores a 5.7.6.1081
  • Zoom Video SDK (iOS, Android, macOS y Windows), anteriores a versiones 1.1.2
  • Controlador Zoom On-Premise Meeting, versiones anteriores a 4.8.12.20211115
  • Zoom On-Premise Meeting, versiones anteriores a 4.8.12.20211115
  • Conector Zoom On-Premise Recording, versiones anteriores a 5.1.0.65.20211116

Zoom también implementó un nuevo mecanismo de actualización automática a la versión de escritorio del software para ayudar a los usuarios a encontrar y aplicar actualizaciones de seguridad de forma oportuna, evitando que las fallas conocidas sean explotadas.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).