Vulnerabilidades de ejecución de código arbitrario y escalamiento de privilegios en Zoom

Se han reportado tres vulnerabilidades graves que afectan a Zoom para macOS y Windows, que permitirían a un atacante local ejecutar código arbitrario en el contexto del cliente Zoom y realizar escalamiento de privilegios a usuario root o SYSTEM respectivamente en el sistema afectado.

Las vulnerabilidades reportadas se componen de 3 (tres) de severidad “Alta”. Las cuales se detallan a continuación:

CVE-2022-36924, de severidad “alta” y puntuación asignada de 8.8. Esta vulnerabilidad se debe a una falla de seguridad en el instalador de Zoom Rooms para Windows. Un atacante local con privilegios limitados podría realizar escalamiento de privilegios a usuario SYSTEM en el sistema afectado.

CVE-2022-28768, de severidad “alta” y puntuación asignada de 8.8. Esta vulnerabilidad se debe a falla en el instalador de Zoom Client for Meetings para macOS. Un atacante local con pocos privilegios podría realizar escalamiento de privilegios a usuario root en el sistema.

CVE-2022-28766, de severidad “alta” y puntuación asignada de 8.1. Esta vulnerabilidad se debe a falla de inyección de DLL en Zoom Client for Meetings y Zoom Rooms for Conference Room. Un atacante local con pocos privilegios podría aprovechar esta vulnerabilidad para ejecutar código arbitrario en el contexto del cliente de Zoom.

Los productos afectados de Zoom son:

Instalador de Zoom Rooms para Windows, versiones anteriores a 5.12.6.
Instalador de Zoom Client for Meetings para macOS (Standard y para administradores de TI), versiones anteriores a 5.12.6.
Zoom Client para reuniones para Windows (32 bits), versiones anteriores a 5.12.6.
Zoom VDI Windows Meeting Client para Windows (32 bits), versiones anteriores a 5.12.6.
Zoom Rooms for Conference Room para Windows (32 bits), versiones anteriores a 5.12.6.

Recomendamos instalar las actualizaciones correspondientes provistas Zoom, mediante el siguiente enlace:

https://zoom.us/download

Referencias: