Zoom ha reparado varias vulnerabilidades de seguridad, incluida una muy grave que podría permitir a los atacantes ejecutar código de forma remota en el punto final de destino (se abre en una nueva pestaña).

El error, descubierto por primera vez por el investigador de seguridad de Google Project Zero, Ivan Fratric, puede explotarse sin ninguna interacción por parte de la víctima.

«La única capacidad que necesita un atacante es poder enviar mensajes a la víctima a través del chat de Zoom (se abre en una nueva pestaña) a través del protocolo XMPP», dijo Fratric en su explicación de la falla.

Vulnerabilidades de seguridad de Zoom

Rastreada como CVE-2022-22786, la falla gira en torno al hecho de que el servidor de Zoom y el del cliente usan diferentes bibliotecas de análisis XML y, como resultado, los mensajes XMPP son analizados de manera diferente por los dos. Solo se encuentra en dispositivos Windows.

Al enviar un mensaje específico, un atacante puede obligar al cliente objetivo a conectarse a un servidor intermedio e instalar una versión anterior de 2019 de Zoom. Esto ayuda al atacante a lanzar un ataque más devastador.

«El instalador de esta versión todavía está debidamente firmado, sin embargo, no realiza ningún control de seguridad en el archivo .cab», explicó el investigador. «Pour démontrer l’impact de l’attaque, j’ai remplacé Zoom.exe dans le .cab par un binaire qui ouvre simplement l’application Windows Calculator et j’ai observé que Calculator s’ouvrait après l’installation de la» actualización «.»

La falla se solucionó en la última actualización de la plataforma de videoconferencia (se abre en una nueva pestaña). Se recomienda a todos los usuarios que actualicen a la versión 5.10.0 lo antes posible. Este parche también corrige una serie de otras vulnerabilidades, incluida una que permite enviar cookies de sesión de usuario a un dominio que no sea Zoom.

Otras vulnerabilidades abordadas en este parche se enumeran como CVE-2022-22784, CVE-2022-22785 y CVE-2022-22787 y se han observado en los sistemas operativos Android, iOS, Linux, macOS y Windows.

Según ZDNet, Fratric descubrió por primera vez las fallas en febrero de este año, mientras que Zoom parchó poco menos de dos meses después, el 24 de abril.

Vía: ZDNet (se abre en una nueva pestaña)

Share This