Alertas

Nuevas vulnerabilidades en Zoom

Zoom ha revelado tres nuevas vulnerabilidades críticas que podrían provocar la exposición de procesos de memoria, la elevación local de privilegios y la actualización a una versión insegura.
29 Apr 2022
1 Minutos de lectura

ANÁLISIS

CVE-2022-22783: Una vulnerabilidad en Zoom On-Premise Meeting Connector Controller versión 4.8.102.20220310 y On-Premise Meeting Connector MMR versión 4.8.102.20220310 expone fragmentos de memoria de procesos a los clientes conectados, que podrían ser observados por un atacante pasivo. Puntuación CVSS: 8,3.

Productos afectados:

  • Zoom On-Premise Meeting Connector Controller versión 4.8.102.20220310
  • Zoom On-Premise Meeting Connector MMR versión 4.8.102.20220310

 

CVE-2022-22782: El cliente de Zoom para reuniones para Windows anterior a la versión 5.9.7, las salas de conferencias de Zoom para Windows anteriores a la versión 5.10.0, los complementos de Zoom para Microsoft Outlook para Windows anteriores a la versión 5.10.3 y los clientes de reuniones de Zoom VDI para Windows anteriores a la versión 5.9.6 son susceptibles de sufrir un problema de escalada de privilegios local durante la operación de reparación del instalador. Un actor malicioso podría utilizar esto para eliminar potencialmente archivos o carpetas a nivel de sistema, causando problemas de integridad o disponibilidad en la máquina anfitriona del usuario. Puntuación CVSS: 7,9.

Productos afectados:

  • Todos los clientes de Zoom para reuniones para Windows anteriores a la versión 5.9.7
  • Todos los Zoom Rooms for Conference Room para Windows anteriores a la versión 5.10.0
  • Todos los plugins de Zoom para Microsoft Outlook para Windows anteriores a la versión 5.10.3
  • Todos los clientes de reuniones de Zoom VDI para Windows anteriores a la versión 5.9.6

 

CVE-2022-22781: El cliente de Zoom para reuniones para MacOS (estándar y para el administrador de TI) anterior a la versión 5.9.6 no comprueba correctamente la versión del paquete durante el proceso de actualización. Esto podría llevar a un actor malicioso a actualizar la versión actualmente instalada de un usuario a una versión menos segura. Puntuación CVSS: 7,5.

Productos afectados:

  • Todos los clientes de Zoom para reuniones para MacOS (estándar y para administradores de TI) anteriores a la versión 5.9.6

RECOMENDACIONES

Los usuarios deben aplicar las actualizaciones actuales o descargar el último software de Zoom con todas las actualizaciones de seguridad actuales [1].

 
REFERENCIAS

[1] https://zoom.us/download
https://explore.zoom.us/en/trust/security/security-bulletin/

104 visitas