Noticias

Vulnerabilidad de escalada de privilegios de Zoom mediante autorización inadecuada


Zoom emitió un aviso de seguridad urgente sobre una falla en el cliente Zoom que podría permitir a un usuario obtener privilegios de mayor nivel y acceso para los que no está autorizado.

Clientes de Zoom y roles de usuario

El cliente web Zoom es lo que utilizan los usuarios para acceder a una reunión.

La autorización inadecuada en un cliente Zoom es una falla de seguridad que permite a los usuarios obtener acceso a funcionalidades o datos para los que no están autorizados según los niveles de privilegios de usuario que se les asignan.

Hay tres niveles de acceso llamados roles de usuario en Zoom. Los roles de usuario definen si un usuario tiene los privilegios necesarios para realizar acciones particulares o acceder a varios recursos de datos.

Los tres niveles son:

  • Propietario: Nivel de privilegio más alto que tiene acceso a todo.
  • Administrador: puede agregar, eliminar o editar usuarios, además de administrar las funciones de la cuenta.
  • Miembros: el rol de usuario más bajo. Solo puede administrar su propia configuración de perfil.

Clientes de Zoom: autorización inadecuada

La alerta de seguridad de Zoom advirtió que los usuarios pueden escalar sus privilegios de rol de usuario.

Según el aviso de seguridad:

“La autorización inadecuada en algunos clientes de Zoom puede permitir que un usuario autorizado realice una escalada de privilegios a través del acceso a la red”.

Esta vulnerabilidad se mitiga hasta cierto punto porque un usuario primero debe estar autorizado a la red para poder pasar al siguiente paso de escalar los privilegios del usuario. Quizás por eso al problema de seguridad se le ha asignado una calificación de gravedad media con una puntuación de 5,5/10.

Lista de clientes de Zoom afectados

  • Cliente de escritorio Zoom para Windows anterior a la versión 5.16.0
  • Cliente de escritorio Zoom para macOS anterior a la versión 5.16.0
  • Aplicación móvil Zoom para iOS anterior a la versión 5.16.0
  • Aplicación móvil Zoom para Android anterior a la versión 5.16.0
  • Cliente de escritorio Zoom para Linux anterior a la versión 5.16.0
  • Cliente de Zoom Rooms para Windows anterior a la versión 5.16.0
  • Cliente de Zoom Rooms para macOS anterior a la versión 5.16.0
  • Cliente de Zoom Rooms para Android anterior a la versión 5.16.0
  • Cliente de Zoom Rooms para iPad anterior a la versión 5.16.0
  • Cliente Zoom VDI anterior a la versión 5.16.0 (excepto 5.14.13 y 5.15.11)
  • SDK de Zoom Meeting para Windows anterior a la versión 5.16.0
  • SDK de Zoom Meeting para iOS anterior a la versión 5.16.0
  • SDK de Zoom Meeting para Android anterior a la versión 5.16.0
  • SDK de Zoom Meeting para macOS anterior a la versión 5.16.0
  • SDK de Zoom Meeting para Linux anterior a la versión 5.16.0

Actualice el cliente Zoom inmediatamente

Se recomienda a los usuarios que actualicen sus clientes de Zoom.

Zoom recomienda:

“Los usuarios pueden ayudar a mantenerse seguros aplicando las actualizaciones actuales o descargando el último software de Zoom con todas las actualizaciones de seguridad actuales desde https://zoom.us/download”.

Lea el boletín de seguridad de Zoom:

Clientes de Zoom: autorización inadecuada

Imagen destacada de Shutterstock/Ink Drop

hola@juanrecio.com

Author

hola@juanrecio.com

¡Utiliza la tecnología y la inteligencia artificial en tus proyectos! ¿Quieres saber cómo?