Zoom corrige un defecto crítico de elevación de privilegios en aplicaciones de Windows
AS-17-2024
Fecha: 15/Feb/2024
Resumen:
Zoom Desktop Client for Windows, Zoom VDI Client for Windows y Zoom Meeting SDK for Windows presentan una vulnerabilidad de validación de entrada inadecuada, identificada como CVE-2024-24691, con una gravedad crítica (CVSS Score: 9,6). Esta falla podría permitir a un usuario no autenticado realizar una escalada de privilegios a través del acceso a la red.
Descripción de la Vulnerabilidad:
La vulnerabilidad crítica identificada como CVE-2024-24691 afecta al software de Zoom para Windows, incluyendo el Cliente de Escritorio, el Cliente VDI y el SDK de Reuniones. Se trata de un fallo de validación inadecuada de la entrada que podría ser aprovechado para acceso a la red para escalar privilegios de forma remota. Esto permitiría ejecutar código arbitrario en los sistemas comprometidos, comprometiendo la integridad y la confidencialidad de los datos.
Solución:
- Aplicar las últimas actualizaciones disponibles.
- Se puede acceder a estas actualizaciones a través del siguiente enlace: https://zoom.us/download
Recomendaciones:
Se recomienda a todos los usuarios de Zoom Desktop Client for Windows, Zoom VDI Client for Windows y Zoom Meeting SDK for Windows actualizar sus sistemas a las versiones correspondientes:
- Zoom Desktop Client para Windows antes de la versión 5.16.5.
- Zoom VDI Client para Windows antes de la versión 5.16.10 (excluyendo 5.14.14 y 5.15.12).
- Zoom Rooms Client para Windows antes de la versión 5.17.0.
- Zoom Meeting SDK para Windows antes de la versión 5.16.5.
Referencias:
https://www.zoom.com/en/trust/security-bulletin/ZSB-24008/
https://www.securityweek.com/zoom-patches-critical-vulnerability-in-windows-applications/
https://securityaffairs.com/159121/security/zoom-crirical-cve-2024-24691.html