Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2023 S2 Grupo
Alertas

Dos vulnerabilidades en Zoom (CVE-2021-34423)(CVE-2021-34424)

Se descubrieron dos vulnerabilidades en Zoom, una era un desbordamiento de búfer que afectaba tanto a los clientes de Zoom como a los servidores MMR (CVE-2021-34423), y otra era una fuga de información que sólo es útil para los atacantes en los servidores MMR (CVE-2021-34424) [1].
19 Jan 2022

ANÁLISIS

Ambas vulnerabilidades se analizan a continuación [2]:

CVE-2021-34423:

Se ha descubierto una vulnerabilidad de desbordamiento de búfer que puede permitir a un actor malicioso bloquear el servicio o la aplicación, o aprovechar esta vulnerabilidad para ejecutar código arbitrario.

CVE-2021-34424:

Se descubrió una vulnerabilidad que potencialmente permitía exponer el estado de la memoria del proceso. Este problema podría utilizarse para obtener potencialmente información sobre áreas arbitrarias de la memoria del producto.

Productos afectados:

  • Zoom Client for Meetings (para Android, iOS, Linux, macOS y Windows) antes de la versión 5.8.4
  • Zoom Client for Meetings para Blackberry (para Android e iOS) antes de la versión 5.8.1
  • Zoom Client for Meetings para intune (para Android e iOS) antes de la versión 5.8.4
  • Zoom Client for Meetings para Chrome OS antes de la versión 5.0.1
  • Zoom Rooms for Conference Room (para Android, AndroidBali, macOS y Windows) antes de la versión 5.8.3
  • Controladores para Zoom Rooms (para Android, iOS y Windows) antes de la versión 5.8.3
  • Zoom VDI Windows Meeting Client antes de la versión 5.8.4
  • Zoom VDI Azure Virtual Desktop Plugins (para Windows x86 o x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) antes de la versión 5.8.4.21112
  • Zoom VDI Citrix Plugins (para Windows x86 o x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) antes de la versión 5.8.4.21112
  • Zoom VDI VMware Plugins (para Windows x86 o x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) antes de la versión 5.8.4.21112
  • Zoom Meeting SDK para Android antes de la versión 5.7.6.1922
  • Zoom Meeting SDK para iOS antes de la versión 5.7.6.1082
  • Zoom Meeting SDK para Windows antes de la versión 5.7.6.1081
  • Zoom Meeting SDK para Mac antes de la versión 5.7.6.1340
  • Zoom Video SDK (para Android, iOS, macOS y Windows) antes de la versión 1.1.2
  • Zoom On-Premise Meeting Connector antes de la versión 4.8.12.20211115
  • Zoom On-Premise Meeting Connector MMR antes de la versión 4.8.12.20211115
  • Zoom On-Premise Recording Connector antes de la versión 5.1.0.65.20211116
  • Zoom On-Premise Virtual Room Connector antes de la versión 4.4.7266.20211117
  • Zoom On-Premise Virtual Room Connector Load Balancer antes de la versión 2.5.5692.20211117
  • Zoom Hybrid Zproxy antes de la versión 1.0.1058.20211116
  • Zoom Hybrid MMR antes de la versión 4.6.20211116.131_x86-64

RECOMENDACIONES

Zoom ha solucionado este problema en las últimas versiones de los productos mencionados.

 
REFERENCIAS
[1] Project Zero: Zooming in on Zero-click Exploits (googleprojectzero.blogspot.com) 
[2] Security Bulletin | Zoom 
Artículos relacionados
Ver todas →
Alertas
Junos OS RCE
Leer más →
Alertas
Múltiples vulnerabilidades de día cero en servicios de Microsoft
Leer más →
Alertas
Vulnerabilidad en el software Zoho ManageEngine ADSelfService Plus
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día