Ciência e Tecnologia

Zoom pisoteia bug crítico de escalonamento de privilégios, 6 outras falhas • Strong The One

Foto de Strong Strongabril 10, 2024
0 2 minutos de leitura

.

A gigante de videoconferência Zoom revelou hoje sobre um novo lote de vulnerabilidades de segurança que afetam seus produtos, incluindo uma falha crítica de escalonamento de privilégios.

Rastreada como CVE-2024-24691 com pontuação CVSS de 9,6, Zoom diz que a vulnerabilidade pode permitir escalonamento de privilégios para usuários não autenticados por meio de acesso à rede.

Detalhes técnicos limitados foram divulgados, mas um exame das métricas de explorabilidade que influenciaram a pontuação de gravidade mostra que Zoom acredita que uma exploração exigiria pouca complexidade para ser executada, embora possa ser necessária alguma interação do usuário.

Artigos relacionados

Também é considerado um impacto potencialmente alto nos produtos afetados, que incluem as versões Windows do cliente de desktop Zoom, cliente VDI, cliente Rooms e SDK do Zoom Meeting.

  • Zoom Desktop Client para Windows antes da versão 5.16.5

  • Cliente Zoom VDI para Windows anterior à versão 5.16.10 (excluindo 5.14.14 e 5.15.12)

  • Cliente Zoom Rooms para Windows antes da versão 5.17.0

  • Zoom Meeting SDK para Windows antes da versão 5.16.5

A vulnerabilidade foi relatada por pesquisadores da divisão de segurança ofensiva da Zoom, e a empresa não disse se alguma exploração foi detectada.

Em qualquer caso, a gravidade da vulnerabilidade deve ser motivo de preocupação e levar os usuários a atualizar para a versão mais recente.

Também foram incluídas na rodada de atualizações vulnerabilidades de validação de entrada inadequadas, bem como diversas outras, embora esses fossem, em sua maioria, problemas de gravidade média, exceto um.

As outras vulnerabilidades agora corrigidas foram:

  • CVE-2024-24690: Uma falha de gravidade média (5.4) afetando vários clientes Zoom que pode levar a ataques de negação de serviço (DoS)

  • CVE-2024-24695: Outra vulnerabilidade de gravidade média (6.8) que poderia levar à divulgação de informações, mas um invasor precisaria ser autenticado

  • CVE-2024-24696: Semelhante ao problema de validação de entrada inadequada acima. Mesma gravidade, afetando os mesmos clientes, com o mesmo resultado. Este diz respeito à funcionalidade de bate-papo na reunião, embora

  • CVE-2024-24697: A única vulnerabilidade de alta gravidade (7.2) aqui. Afetando alguns clientes Windows de 32 bits, essa falha no caminho de pesquisa não confiável pode permitir o escalonamento de privilégios locais para invasores autenticados

  • CVE-2024-24698: Um problema de gravidade média (4.9) afetando aplicativos Zoom para desktop (Windows, Mac e Linux), aplicativos móveis (Android e iOS), cliente VDI, cliente Rooms e SDKs de reunião. É classificada como uma vulnerabilidade de autenticação inadequada que pode levar à divulgação de informações

  • CVE-2024-24699: Afetando também todos os aplicativos de desktop e móveis, além dos SDKs de reuniões e clientes VDI e Salas, essa falha de gravidade média (6,5) pode levar à divulgação de informações pela rede

Vale a pena conferir cada comunicado para as versões específicas afetadas, pois elas diferem entre as várias vulnerabilidades. ®

.

Etiquetas
Foto de Strong Strongabril 10, 2024
0 2 minutos de leitura
Mostrar mais
Foto de Strong

Strong

Artigos relacionados

Como criar uma imagem ISO leve do Windows 11 com o Tiny11 Builder

abril 9, 2023

As renderizações do Fresh Nothing Phone 2a revelam o telefone econômico na íntegra

fevereiro 20, 2024

O que é um ataque de karma Wi-Fi?

outubro 22, 2023

Promoção vazada revela AT&T Turbo, opção complementar prioritária da operadora, lançada em 2 de maio

maio 1, 2024

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Botão Voltar ao topo