Síntesis
Se han descubierto varias vulnerabilidades nuevas, incluidas cuatro de gravedad “alta”, en los productos Zoom. Estas vulnerabilidades podrían permitir privilegios elevados y/o causar una denegación de servicio en los productos afectados.
Riesgo
Impacto estimado de la vulnerabilidad en la comunidad de referencia: Medio (64,74)
Tipología
- Denial of Service
- Privilege Escalation
Productos y versiones afectados
Zoom
- Workplace App para Windows, versiones anteriores a la 6.3.0
- Workplace App para macOS, versiones anteriores a la 6.3.0
- Workplace App para Linux, versiones anteriores a la 6.3.0
- Workplace App para iOS, versiones anteriores a la 6.3.0
- Workplace App para Android, versiones anteriores a la 6.3.0
- Workplace VDI Client para Windows, versiones anteriores a 6.2.12 (excepto la versión 6.1.16)
- Rooms Controller para Windows, versiones anteriores a la 6.3.0
- Rooms Client para macOS, versiones anteriores a la 6.3.0
- Rooms Client para Linux, versiones anteriores a la 6.3.0
- Rooms Client para Android, versiones anteriores a la 6.3.0
- Rooms Clients para Windows, versiones anteriores a la 6.3.0
- Rooms Client para macOS, versiones anteriores a la 6.3.0
- Rooms Client para Android, versiones anteriores a la 6.3.0
- Rooms Client para iPad, versiones anteriores a la 6.3.0
- Meeting SDK para Windows, versiones anteriores a la 6.3.0
- Meeting SDK para iOS, versiones anteriores a la 6.3.0
- Meeting SDK para Android, versiones anteriores a la 6.3.0
- Meeting SDK para macOS, versiones anteriores a la 6.3.0
- Meeting SDK para Linux, versiones anteriores a la 6.3.0
Acciones de mitigación
De acuerdo con las declaraciones de los proveedores, se recomienda actualizar los productos vulnerables siguiendo los boletines de seguridad enumerados en la sección Referencias.
Los siguientes son solo los CVE para vulnerabilidades con una gravedad “alta”:
Referencias
https://www.zoom.com/en/trust/security-bulletin/zsb-25010/
https://www.zoom.com/en/trust/security-bulletin/zsb-25011/
https://www.zoom.com/en/trust/security-bulletin/zsb-25012/
https://www.zoom.com/it/trust/security-bulletin/?cms_guid=false&lang=it-IT
https://www.zoom.com/en/trust/security-bulletin/zsb-25009/
1Esta estimación se realiza teniendo en cuenta varios parámetros, entre ellos: CVSS, disponibilidad de patch/workaround y PoC, difusión del software/dispositivos afectados en la comunidad de referencia.