Zoom, el popular servicio de videoconferencias que, en los últimos meses, ha experimentado un crecimiento exponencial tanto en volumen de usuarios como en los problemas de seguridad que ha resultado tener. Y se encontraron dos nuevas vulnerabilidades críticas de Zoom en la herramienta de videoconferencia Zoom que permitirían a un atacante comprometer la computadora de la víctima mediante el envío de mensajes especialmente diseñados a través del chat de la herramienta. De esta forma, un atacante que consiga explotar estas nuevas vulnerabilidades (CVE-2020-6109 y CVE-2020-6110) podría ejecutar código malicioso escribiendo o plantando archivos arbitrarios, que le permitan al atacante realizar modificaciones en el sistema comprometido.
Afortunadamente, las vulnerabilidades fueron detectadas por Talos que, siguiendo el procedimiento establecido en estos casos, informó a Zoom de los problemas de seguridad y, aunque publicó los respectivos CVE, no ha revelado la naturaleza de los mismos hasta que Zoom se ha puesto manos a la obra. el trabajo para resolver los problemas.
Vulnerabilidades críticas de Zoom
▸CVE-2020-6109
Esta vulnerabilidad afecta a la versión 4.6.10 del cliente Zoom y, en función de ella, un atacante puede comprometer su seguridad enviando un mensaje especialmente diseñado a un usuario o grupo objetivo. Está relacionado con la forma en que esta aplicación maneja los archivos gif y una anomalía en la gestión de las rutas de los archivos.
▸CVE-2020-6110
Esta vulnerabilidad afecta a la versión 4.6.10 de Zoom, radica en la forma de procesar los mensajes que incluyen fragmentos de código (snippets) compartidos a través del chat de la aplicación, lo que permite a un atacante aprovechar la vulnerabilidad mediante el envío de mensajes especialmente diseñados para plantar binarios arbitrarios que permitirían ejecución de código arbitrario en segunda instancia sin necesidad de interacción por parte de la víctima.
