Se recomienda una actualización para usuarios de clientes de Zoom en varios sistemas. De las vulnerabilidades reportadas actualmente, dos están clasificadas como altamente peligrosas y otras tres como moderadamente peligrosas. Zoom proporciona actualizaciones de seguridad adecuadas para Android, iOS, Linux, macOS y Windows.
Las vulnerabilidades reportadas por Zoom son 8.3 y 7.2 según CVSS. Estos no se consideran críticos, pero deben parchearse de inmediato. Zoom proporciona parches o actualizaciones de software adecuados para esto.
Vulnerabilidades con CVSS 8.3 y 7.2
La primera vulnerabilidad con CVSS 8.3 se refiere a la "Implementación incorrecta del límite de confianza para SMB en clientes de Zoom" con CVE-2023-22885. El impacto, según Zoom: si una víctima guarda una grabación local en una ubicación SMB y luego la abre a través de un enlace del portal web de Zoom, un atacante ubicado en una red adyacente a la del cliente víctima podría explotar un servidor SMB malicioso configurado para responder a las solicitudes de los clientes. Un atacante podría usar esto para iniciar archivos ejecutables. Esto podría permitir que un atacante obtenga acceso al dispositivo y los datos de un usuario, así como ejecutar otro código de forma remota.
Los productos afectados
- Clientes de Zoom (para Android, iOS, Linux, macOS y Windows) anteriores a la versión 5.13.5
- Clientes de Zoom Rooms (para Android, iOS, Linux, macOS y Windows) anteriores a la versión 5.13.5
- Clientes Zoom VDI Windows Meeting anteriores a la versión 5.13.10
La segunda vulnerabilidad altamente peligrosa se refiere a la escalada local de privilegios en Zoom para Windows Installer con CVE-2023-22883. Por ejemplo, un usuario local con privilegios bajos podría explotar esta vulnerabilidad en una cadena de ataques durante el proceso de instalación para escalar sus privilegios al usuario del SISTEMA. Una actualización elimina el peligro.
El producto afectado:
- Cliente Zoom para reuniones para administradores de TI Instaladores de Windows anteriores a la versión 5.13.5