Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Zoom corrige vulnerabilidades críticas en sus clientes, conectores y plugins, ¡actualiza!

Fecha de publicación 28/04/2022
Importancia
4 - Alta
Recursos Afectados
  • Controladores de conector de Meeting on-premises versión 4.8.102.20220310;
  • Conectores MMR de Meeting on-premises versión 4.8.102.20220310;
  • Clientes de Meetings para Windows anteriores a la versión 5.9.7;
  • Salas de Conference Room para Windows anteriores a la versión 5.10.0;
  • Plugins para Microsoft Outlook para Windows anteriores a la versión 5.10.3;
  • Clientes de Meetings de VDI para Windows anteriores a la versión 5.9.6;
  • Clientes de Meetings para MacOS (estandar y admministrador TI)  anteriores a la versión 5.9.6.
Descripción

Zoom ha solucionado tres vulnerabilidades de criticidad alta, que podrían permitir a un ciberdelincuente la exposición de procesos de memoria en servicios de Meeting on-premises, la elevación local de privilegios en clientes Zoom para Windows, y la actualización de la versión instalada a una versión insegura en clientes Zoom para MacOS.

Solución

Zoom ha publicado actualizaciones para los productos afectados que solucionan estas vulnerabilidades. Si no es posible aplicarlos, recomiendan descargar la última versión de Zoom que contenga las últimas actualizaciones de seguridad.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.

Detalle

vulnerabilidad en Zoom

Las vulnerabilidades solucionadas en esta actualización:

  • La vulnerabilidad en el controlador de conectores Zoom de Meeting on-premises y en el conector MMR expone fragmentos de memoria de proceso a los clientes conectados, y podrían ser observados por un atacante pasivo.
  • La vulnerabilidad que afecta en Windows a los clientes de Zoom de Meetings, a las salas de conferencias de Zoom, a los complementos de Zoom para Microsoft Outlook y a los clientes de Meetings de Zoom VDI, hace que sean susceptibles a la escalada de privilegios local durante la operación de reparación del instalador. Un ciberdelincuente podría utilizar esta vulnerabilidad para eliminar archivos o carpetas a nivel de sistema, causando problemas de integridad o disponibilidad en la máquina anfitriona del usuario.
  • La vulnerabilidad que afecta a clientes de Meetings para MacOS afecta al proceso de actualización en el que no se comprueba correctamente la versión del paquete. Esto podría llevar a un ciberdelincuente a actualizar la versión instalada de un usuario desprevenido a una versión menos segura.

Línea de ayuda en ciberseguridad 017

Listado de referencias