25 mayo, 2022

9VSA22-00646-01 CSIRT alerta vulnerabilidades en Zoom

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT de Gobierno, comparte información sobre vulnerabilidades que afectan a Zoom.

Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.

Vulnerabilidades

CVE-2022-22784

CVE-2022-22785

CVE-2022-22786

CVE-2022-22787

Impacto

Vulnerabilidades de riesgo alto

CVE-2022-22784: Un análisis incorrecto en XML en mensajes XMPP pueden permitir a un usuario malicioso escapar del contexto de los mensajes XMPP y lograr que el cliente del usuario receptor realice una variedad de acciones.

CVE-2022-22786: El cliente de Zoom no chequea correctamente la versión de instalación durante el proceso de actualizado. Esto podría permitir un ataque más sofisticado que logre que el usuario revierta su cliente de Zoom a una versión menos segura.

Productos afectados

Zoom Client for Meetings (para Android, iOS, Linux, macOS, y Windows), versiones anteriores a la 5.10.0.

Mitigación

Instalar las respectivas actualizaciones entregadas por el proveedor.

Enlaces

https://explore.zoom.us/en/trust/security/security-bulletin/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22784

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22785

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22786

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22787

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA22-00646-01.

9VSA22-00646-01 CSIRT alerta vulnerabilidades en Zoom