La plataforma de videollamadas Zoom lanza un nuevo parche para solucionar el fallo de seguridad grave detectado en su cliente para dispositivos macOS.
La vulnerabilidad, clasificada como CVE-2022-28762, fue descubierta por el equipo de seguridad interno cuando estaba realizando una evaluación rutinaria.
Esta vulnerabilidad hace referencia a una configuración incorrecta del puerto de depuración que afecta a las versiones que van desde la 5.10.6 a la 5.12.0 (ambas excluidas) y tiene un sistema de puntuación de vulnerabilidad común (CVSS) de 3,1 de 7,3 sobre 10.
Según apunta la firma en su boletín de seguridad «cuando el contexto de representación del modo de cámara está habilitado como parte de la API de capas de aplicaciones de Zoom al ejecutar ciertas aplicaciones de Zoom, el cliente abre un puerto de depuración local».
La compañía destaca que, si se explota esta vulnerabilidad, un actor malintencionado se puede conectar a su cliente y controle las aplicaciones de Zoom que se ejecutan en él.
Una vez detectado este fallo, el propio equipo de seguridad de Zoom la parcheó por completo en la última versión de cliente para macOS (5.12.0), que ahora está disponible en el sitio web de la compañía y ya está en la plataforma de video.
Según Zoom «los usuarios pueden mantenerse seguros aplicando las actualizaciones actuales o descargando el último software de Zoom con todas las actualizaciones de seguridad»
Otras vulnerabilidades detectadas en Zoom
Esta actualización de seguridad llega meses después de que Ivan Fratric, de Google Project Zero, descubriera cuatro vulnerabilidades, ahora ya parcheadas. Estas vulnerabilidades podían explotarse para comprometer a los usuarios a través del chat mediante el envío de ciertos mensajes del Protocolo de presencia y mensajería extensible (XMPP) y la ejecución de código malicioso.
Más recientemente, una investigación realizada por la empresa de ciberseguridad Cyfirma, sugirió que los actores de amenazas FIN11 y Clop podrían haberse hecho pasar por páginas de descarga web de la aplicación Zoom para ejecutar campañas de phishing contra objetivos en todo el mundo.
No obstante, la firma está realizando importantes esfuerzos para solventar los problemas de seguridad que surgen. Recientemente también resolvió el problema, de gravedad media, clasificado como CVE-2022-28761 que afectaba al router media (MMR) de Zoom On-Premise Meeting Connector.
Esta vulnerabilidad de control de acceso inadecuada podía hacer que un actor malintencionado impidiera a los participantes de una reunión a través de Zoom recibir el audio o el vídeo de la misma. Una problemática a la que la compañía también ha puesto ya solución.