Nuevas vulnerabilidades en Zoom (CVE-2022-22786, CVE-2022-22784)

ANÁLISIS

CVE-2022-22786: El Cliente Zoom para reuniones para Windows antes de la versión 5.10.0 y las salas de conferencias de Zoom para Windows antes de la versión 5.10.0, no comprueban correctamente la versión de instalación durante el proceso de actualización. Este problema podría ser utilizado en un ataque más sofisticado para engañar a un usuario para que actualice su cliente Zoom a una versión menos segura. Tiene una puntuación CVSS de 7,5.

CVE-2022-22784: El Cliente Zoom para reuniones (para Android, iOS, Linux, macOS y Windows) antes de la versión 5.10.0 no analiza correctamente las estrofas XML en los mensajes XMPP. Esto puede permitir a un usuario malintencionado salirse del contexto actual del mensaje XMPP y crear un nuevo contexto de mensaje para que el cliente del usuario receptor realice una serie de acciones. Este problema podría utilizarse en un ataque más sofisticado para falsificar mensajes XMPP desde el servidor. Tiene una puntuación CVSS de 8,1.

RECOMENDACIONES

Se aconseja a los usuarios que actualicen a la última versión de Zoom.

REFERENCIAS

[1] https://explore.zoom.us/en/trust/security/security-bulletin/