0
0
Falhas residem na versão cliente do Zoom e sua exploração permite a implantação de ataques de execução remota de código
A equipe de segurança do Zoom anunciou a liberação de patches para duas vulnerabilidades que podem afetar usuários do Windows, iOS, macOS, Android e Linux. Relatadas pelo Google Project Zero, as falhas residem na versão cliente do Zoom para as principais plataformas e sua exploração permite a implantação de ataques de execução remota de código.
Rastreada como CVE-2021-34423, a primeira das falhas é considerada de alta gravidade e também pode afetar outros componentes e kits de desenvolvimento de software (SDK). De acordo com o Zoom, isso permitiria que os operadores da ameaça bloqueassem os serviços ou aplicativos afetados, além de forçar a execução arbitrária do código.
A segunda vulnerabilidade, rastreada como CVE-2021-34424, foi descrita como um erro de corrupção de memória que permitiria que o estado da memória fosse exposto em vários processos em vários produtos e componentes: “A falha pode ser explorada para obter informações sobre áreas arbitrárias na memória do produto afetado”, afirma o relatório.
Entre os produtos afetados estão:
- Cliente Zoom para reuniões usando Android, iOS, Linux, macOS e Windows, versões anteriores a 5.8.4;
- Cliente Zoom para reuniões usando o Blackberry (iOS e Android) versões anteriores a 5.8.1;
- Cliente Zoom para reuniões usando Intune (iOS e Android), versões anteriores a 5.8.4;
- Cliente Zoom para reuniões usando Chrome, versões anteriores a 5.0.1;
- Zoom Rooms para sala de conferência (Android, Android Bali, macOS e Windows), versões anteriores a 5.8.3;
- Drivers para salas do Zoom (iOS, Android e Windows) anteriores a v5.8.3;
- Zoom VDI anterior a v5.8.4;
- Zoom Meeting SDK para Android, versões anteriores a 5.7.6.1922;
- Zoom Meeting SDK para iOS, versões anteriores a 5.7.6.1082;
- Zoom Meeting SDK para macOS, versões anteriores a 5.7.6.1340;
- Zoom Meeting SDK para Windows, versões anteriores a 5.7.6.1081;
- Zoom Video SDK (iOS, Android, macOS e Windows), anterior às versões 1.1.2;
- Driver Zoom On-Premise Meeting, versões anteriores a 4.8.12.20211115;
- Zoom On-Premise Meeting, versões anteriores a 4.8.12.20211115
- Conector de gravação Zoom On-Premise, versões anteriores a 5.1.0.65.20211116
O Zoom também implementou um novo mecanismo de atualização automática para a versão desktop do software para ajudar os usuários a encontrar e aplicar atualizações de segurança em tempo hábil, evitando que falhas conhecidas sejam exploradas.
FONTE: CISO ADVISOR