Se han detectado una vulnerabilidad de desbordamiento de búfer (CVE-2021-34423) y otra de escalamiento de privilegios (CVE-2021-34424) en diferentes plataformas de la aplicación “Zoom”.
La vulnerabilidad CVE-2021-34423 se encuentra relacionada a una función desconocida dentro del código de la aplicación afectada por desbordamiento de búfer a través de la manipulación de un input desconocido. Esto repercutiría sobre la confidencialidad, integridad y disponibilidad de la aplicación.
La vulnerabilidad CVE-2021-34424 se encuentra asociada a una función desconocida dentro del código de la aplicación, cuyo input desconocido es manipulado para realizar escalamiento de privilegios. Esto repercutiría sobre la confidencialidad.
Las diferentes versiones del programa afectadas serían:
- Zoom Client for Meetings (para Android, iOS, Linux, macOS, y Windows) antes de la versión 5.8.4
- Zoom Client for Meetings para Blackberry (para Android y iOS) antes de la versión 5.8.1
- Zoom Client for Meetings para intune (para Android and iOS) antes de la versión 5.8.4
- Zoom Client for Meetings para Chrome OS antes de la versión 5.0.1
- Zoom Rooms for Conference Room (para Android, AndroidBali, macOS, y Windows) antes de la versión 5.8.3
- Controllers for Zoom Rooms (para Android, iOS, y Windows) antes de la versión 5.8.3
- Zoom VDI antes de la versión 5.8.4
- Zoom Meeting SDK para Android antes de la versión 5.7.6.1922
- Zoom Meeting SDK para iOS antes de la versión 5.7.6.1082
- Zoom Meeting SDK para macOS antes de la versión 5.7.6.1340
- Zoom Meeting SDK para Windows antes de la versión 5.7.6.1081
- Zoom Video SDK (para Android, iOS, macOS, y Windows) antes de la versión 1.1.2
- Zoom On-Premise Meeting Connector Controller antes de la versión 4.8.12.20211115
- Zoom On-Premise Meeting Connector MMR antes de la versión 4.8.12.20211115
- Zoom On-Premise Recording Connector antes de la versión 5.1.0.65.20211116
- Zoom On-Premise Virtual Room Connector antes de la versión 4.4.7266.20211117
- Zoom On-Premise Virtual Room Connector Load Balancer antes de la versión 2.5.5692.20211117
- Zoom Hybrid Zproxy antes de la versión 1.0.1058.20211116
- Zoom Hybrid MMR antes de la versión 4.6.20211116.131_x86-64
Se recomienda instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.