Zoom ha notificado recientemente a sus usuarios para que actualicen inmediatamente a la versión 5.10.0 del software para parchar una serie de fallas de seguridad. Las versiones de Zoom afectadas van desde Windows, macOS, iOS y Android. La criticidad de estas fallas se debe a que un atacante puede comprometer la máquina de un usuario mediante el chat de Zoom.
La vulnerabilidad principal fue registrada como CVE-2022-22787, con una puntuación en severidad de 5.9. La interacción del usuario no es requerida para la explotación exitosa de esta vulnerabilidad. Lo único que el atacante necesito es poder enviar un mensaje a la víctima mediante el chat de Zoom utilizando el protocolo XMPP.
El protocolo XMPP (Extensible Messaging and Presence Protocol), es empleado para enviar elementos XML en conexiones de transmisión para intercambiar mensajes e información en tiempo real. Este protocolo es empleado por Zoom para su funcionalidad de chat.
Las otras CVE que Zoom mitigo con el parche lanzado son CVE-2022-22786 con una puntuación de 7.5 y afecta a los usuarios de Windows. Mientras que las otras CVE-2022-22784, CVE-2022-22785, y CVE-2022-22787 afectan a las versiones de Zoom inferiores a 5.10.0 que se ejecutan en Android, iOS, Linux, macOS y Windows.
Las vulnerabilidades fueron descubiertas por el investigador Ivan Fratic, parte del equipo de Google Project Zero. Si actualmente usas Zoom, le recomendamos actualizarlo cuanto antes, para tener los parches de seguridad correspondientes y estar protegido contra estas recientes amenazas.