Zoom corrige falha crítica em aplicativos do Windows

[ad_1]

Os clientes Zoom desktop e VDI e o Meeting SDK para Windows são vulneráveis ??a uma falha crítica de validação de entrada inadequada. Essa falha pode permitir que um invasor não autenticado conduza o escalonamento de privilégios no sistema de destino pela rede.

Falha crítica em aplicativos Zoom do Windows

O Zoom é um serviço popular de videoconferência baseado em nuvem para reuniões corporativas, aulas educacionais, interações/reuniões sociais e muito mais. Ele oferece compartilhamento de tela, gravação de reuniões, planos de fundo personalizados, bate-papo em reuniões e vários recursos focados na produtividade.

A popularidade do Zoom aumentou durante a pandemia da COVID-19, quando muitas organizações recorreram a soluções remotas para manter as operações e a continuidade dos negócios. Em abril de 2020, atingiu um pico de 300 milhões de participantes diários em reuniões.

zoom-corrige-falha-critica-em-aplicativos-do-windows

A falha recém-divulgada é rastreada como CVE-2024-24691 e foi descoberta pela equipe de segurança ofensiva do Zoom, recebendo uma pontuação CVSS v3.1 de 9,6, classificando-a como “crítica”. Ela afeta as seguintes versões do produto: Zoom Desktop Client para Windows antes da versão 5.16.5; Cliente Zoom VDI para Windows anterior à versão 5.16.10 (excluindo 5.14.14 e 5.15.12); Cliente Zoom Rooms para Windows antes da versão 5.17.0; Zoom Meeting SDK para Windows antes da versão 5.16.5.

A breve descrição da falha não especifica como ela poderia ser explorada ou quais seriam as repercussões, mas o vetor CVSS indica que ela requer alguma interação do usuário. Isso pode envolver clicar em um link, abrir um anexo de mensagem ou realizar alguma outra ação que o invasor possa aproveitar para explorar o CVE-2024-24691, aponta o Bleeping Coomputer.

Correção da falha

Para a maioria das pessoas, o Zoom deve solicitar automaticamente aos usuários que atualizem para a versão mais recente. No entanto, você pode baixar e instalar manualmente a versão mais recente do cliente de desktop para Windows, versão 5.17.7.

Além da falha de validação de entrada inadequada, a versão mais recente do Zoom também aborda as seis vulnerabilidades a seguir:

  • CVE-2024-24697: Um problema de alta gravidade em clientes Windows Zoom de 32 bits permite o escalonamento de privilégios por meio de acesso local, explorando um caminho de pesquisa não confiável.
  • CVE-2024-24696: Uma vulnerabilidade de bate-papo em reunião em clientes Zoom Windows causada por validação de entrada inadequada permite a divulgação de informações pela rede.
  • CVE-2024-24695: Semelhante ao CVE-2024-24696, a validação de entrada inadequada em clientes Zoom Windows permite a divulgação de informações pela rede.
  • CVE-2024-24699: Um erro de lógica de negócios no recurso de bate-papo em reunião do Zoom pode levar à divulgação de informações pela rede.
  • CVE-2024-24690: Vulnerabilidade em alguns clientes Zoom causada por validação de entrada inadequada pode desencadear uma negação de serviço na rede.
  • CVE-2024-24698: Falha de autenticação inadequada em alguns clientes Zoom permite divulgação de informações por meio de acesso local por usuários privilegiados.

Os usuários do Zoom devem aplicar a atualização de segurança o mais rápido possível para mitigar a probabilidade de atores externos elevarem seus privilégios a um nível que lhes permita roubar dados confidenciais, interromper ou espionar reuniões e instalar backdoors.

[ad_2]

Source link

Leave a Comment