esenfrdeitptru

CVE-2021-34423 vulnerabilidad de ejecución remota de código presente en Zoom

AS-119-2021

Fecha: 02/Dic/2021

Resumen:

Conforme el reporte de los investigadores de Project Zero de Google, se detectó un fallo de seguridad en los clientes de Zoom para las plataformas de Windows, MacOS, iOS, y Android.

La vulnerabilidad permite ejecutar código remoto en los equipos clientes a través de la explotación de un desbordamiento del buffer de los clientes de videoconferencia de Zoom. La vulnerabilidad fue catalogada como Alta, con un score de 7.3 conforme CVSS v3.0, y etiquetada con el CVE-2021-34423.

El fabricante ya ha emitido parches correspondientes para las diferentes plataformas, por lo que se recomienda su actualización inmediata con el fin de prevenir que un atacante se aproveche del fallo (https://zoom.us/download). Al momento no se conoce un exploit público que haya sido utilizado por los atacantes.

La lista de versiones afectadas es:

  • Zoom Client Meetings (Android, iOS, Linux, macOS, and Windows) antes de la version 5.8.4
  • Zoom Client Meetings para Blackberry (for Android and iOS) antes de la version 5.8.1
  • Zoom Client Meetings para intune (for Android and iOS) antes de la version 5.8.4
  • Zoom Client Meetings para Chrome OS antes de la version 5.0.1
  • Zoom Rooms para Conference Room (for Android, AndroidBali, macOS, and Windows) antes de la version 5.8.3
  • Controllers para Zoom Rooms (for Android, iOS, and Windows) antes de la version 5.8.3
  • Zoom VDI antes de la version 5.8.4
  • Zoom Meeting SDK para Android antes de la version 5.7.6.1922
  • Zoom Meeting SDK para iOS antes de la version 5.7.6.1082
  • Zoom Meeting SDK para macOS antes de la version 5.7.6.1340
  • Zoom Meeting SDK para Windows antes de la version 5.7.6.1081
  • Zoom Video SDK (for Android, iOS, macOS, and Windows) antes de la version 1.1.2
  • Zoom On-Premise Meeting Connector Controller antes de la version 4.8.12.20211115
  • Zoom On-Premise Meeting Connector MMR antes de la version 4.8.12.20211115
  • Zoom On-Premise Recording Connector antes de la version 5.1.0.65.20211116
  • Zoom On-Premise Virtual Room Connector antes de la version 4.4.7266.20211117
  • Zoom On-Premise Virtual Room Connector Load Balancer antes de la version 2.5.5692.20211117
  • Zoom Hybrid Zproxy antes de la version 1.0.1058.20211116
  • Zoom Hybrid MMR antes de la version 4.6.20211116.131_x86-64

Referencias:

https://explore.zoom.us/en/trust/security/security-bulletin/

https://nvd.nist.gov/vuln/detail/CVE-2021-34423

https://www.securityweek.com/project-zero-flags-high-risk-zoom-security-flaw

Tlp Clear 2023