Zoom, la popular plataforma de videoconferencia que se hizo enormemente popular durante la pandemia y mantiene un papel destacado especialmente en entornos corporativos, ha publicado actualizaciones de seguridad para abordar dos vulnerabilidades significativas que afectaban a múltiples productos de su ecosistema Windows. Los fallos en Zoom, identificados como desbordamientos de amortiguamiento clásicos, exponen a las organizaciones a ciberataques de Denegación de Servicio (DoS), capaces de interrumpir operaciones críticas y dejar fuera de línea la aplicación en entornos empresariales y de teletrabajo.

Las vulnerabilidades en Zoom fueron encontrados por el investigador conocido bajo el seudónimo «fre3dm4n», quien notificó a Zoom de forma responsable y colaboró en la divulgación coordinada. La compañía publicó los detalles en dos boletines de seguridad, ZSB-25028 y ZSB-25024, fechados el 8 de julio de 2025, con el objetivo de alertar a clientes y administradores de sistemas sobre la necesidad urgente de actualización.

Aunque las vulnerabilidades de Zoom requieren que un atacante sea un usuario autorizado con acceso a la red de la organización, su explotación puede tener un impacto relevante en la disponibilidad del servicio. En entornos que dependen de Zoom para operaciones comerciales o institucionales, un ataque DoS puede generar pérdidas económicas, interrumpir reuniones estratégicas o afectar la atención a clientes.

Ad

Un fallo ya conocido

Las vulnerabilidades identificadas están catalogadas como desbordamientos de amortiguamiento, una clase de error que lleva décadas figurando entre los problemas más explotados en el ámbito de la ciberseguridad. El desbordamiento ocurre cuando una aplicación escribe más datos de los que un buffer puede almacenar, provocando la corrupción de áreas de memoria adyacentes.

Dependiendo del contexto, esta condición puede derivar en bloqueos de la aplicación, pérdida de datos, elevación de privilegios o incluso ejecución de código arbitrario si el ataque se perfecciona. En este caso, los fallos detectados en Zoom permiten principalmente interrumpir el servicio, dejando a los usuarios legítimos sin acceso mientras persista el ataque.

Los identificadores asignados por la base de datos de vulnerabilidades comunes y exposiciones (CVE) son:

  • CVE-2025-49464, con una puntuación CVSS de 6.5 (impacto medio), afecta a:

    • Zoom Workplace para Windows 6.4.0

    • Zoom Workplace VDI para Windows 6.3.10 (excepto 6.1.7 y 6.2.15)

    • Zoom Rooms para Windows 6.4.0

    • Zoom Rooms Controller para Windows 6.4.0

    • Zoom Meeting SDK para Windows

  • CVE-2025-46789, también con puntuación 6.5, afecta a:

    • Zoom Workplace para Windows 6.4.5

    • Zoom Workplace VDI para Windows 6.3.12 (excepto 6.2.15)

    • Zoom Rooms para Windows 6.4.5

    • Zoom Rooms Controller para Windows 6.4.5

    • Zoom Meeting SDK para Windows

Aunque la gravedad no alcanza los niveles críticos, su amplio alcance en entornos corporativos convierte estos fallos en una amenaza seria, especialmente para organizaciones con despliegues masivos de Zoom en infraestructuras de trabajo remoto o salas de conferencias.

Impacto potencial en las operaciones

El escenario de explotación más probable consiste en que un usuario legítimo, con credenciales y acceso a la red corporativa, desencadene el ataque enviando datos maliciosos que saturen el buffer. Esto podría dejar inutilizado el cliente Zoom de otros usuarios o bloquear la funcionalidad de salas de reuniones hasta que se reinicie el servicio afectado.

En un contexto de reuniones en tiempo real o procesos de atención al cliente, este tipo de interrupción puede traducirse en:

  • Cancelación de videoconferencias críticas.

  • Pérdida de sincronización con calendarios corporativos.

  • Retrasos en operaciones de soporte técnico o ventas.

  • Incertidumbre en procesos de comunicación interna.

La respuesta de Zoom

Uno de los aspectos destacables en este caso es la rapidez con la que Zoom ha reaccionado. Tras la notificación de fre3dm4n, la compañía auditó el código afectado, desarrolló actualizaciones de seguridad y publicó boletines detallados en cuestión de semanas. Este enfoque de divulgación responsable permite que las organizaciones cuenten con información precisa para planificar la mitigación del riesgo.

Zoom recomienda encarecidamente que todos los usuarios y administradores de sistemas Windows actualicen sus instalaciones a las versiones más recientes, disponibles en el portal oficial de descargas. La aplicación de estos parches corrige los errores de gestión de memoria, impide el desbordamiento del buffer y reduce el riesgo de ataques DoS.

MLuz Domínguez
MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre