Actualiza Zoom cuando puedas: descubren vulnerabilidades y es peligroso usarlo

Descubren tres vulnerabilidades de criticidad alta, que podr��an permitir a un ciberdelincuente atacar dispositivos.

Actualizado a 28 de abril de 2022 20:28 CEST

Convertida en una de las apps m��s populares y usadas durante el confinamiento de 2020, Zoom es una favorita para reuniones online, videoconferencias y uso tanto en ambiente de trabajo como estudiantil. Pero precisamente por ese perfil tan alto, Zoom es una favorita para los cibercriminales debido a la cantidad de usuarios que atrae.

Actualiza ya Zoom

El INCIBE, el Instituto Nacional de Ciberseguridad, ha avisado de una serie de vulnerabilidades aparecidas en varios elementos de Zoom. Concretamente tres vulnerabilidades de criticidad alta que podr��an permitir a un ciberdelincuente la exposici��n de procesos de memoria en servicios de Meeting on-premises, la elevaci��n local de privilegios en clientes Zoom para Windows, y la actualizaci��n de la versi��n instalada a una versi��n insegura en clientes Zoom para MacOS.

Entrando en detalle sobre cada una, tenemos que:

La vulnerabilidad en el controlador de conectores Zoom de Meeting on-premises y en el conector MMR expone fragmentos de memoria de proceso a los clientes conectados, y podr��an ser observados por un atacante pasivo.

La vulnerabilidad que afecta en Windows a los clientes de Zoom de Meetings, a las salas de conferencias de Zoom, a los complementos de Zoom para Microsoft Outlook y a los clientes de Meetings de Zoom VDI, hace que sean susceptibles a la escalada de privilegios local durante la operaci��n de reparaci��n del instalador. Un ciberdelincuente podr��a utilizar esta vulnerabilidad para eliminar archivos o carpetas a nivel de sistema, causando problemas de integridad o disponibilidad en la m��quina anfitriona del usuario.

La vulnerabilidad que afecta a clientes de Meetings para MacOS afecta al proceso de actualizaci��n en el que no se comprueba correctamente la versi��n del paquete. Esto podr��a llevar a un ciberdelincuente a actualizar la versi��n instalada de un usuario desprevenido a una versi��n menos segura.

Recursos afectados

Controladores de conector de Meeting on-premises versi��n 4.8.102.20220310;
Conectores MMR de Meeting on-premises versi��n 4.8.102.20220310;
Clientes de Meetings para Windows anteriores a la versi��n 5.9.7;
Salas de Conference Room para Windows anteriores a la versi��n 5.10.0;
Plugins para Microsoft Outlook para Windows anteriores a la versi��n 5.10.3;
Clientes de Meetings de VDI para Windows anteriores a la versi��n 5.9.6;
Clientes de Meetings para MacOS (estandar y administrador TI) anteriores a la versi��n 5.9.6.

Zoom ha publicado actualizaciones para los productos afectados listados justo arriba que solucionan estas vulnerabilidades. Si por el motivo que sea no puedes instalarlos, recomiendan descargar la ��ltima versi��n de Zoom que contenga las ��ltimas actualizaciones de seguridad, algo que puedes hacer desde el centro oficial de descargas de Zoom.