9VSA22-00646-01 CSIRT alerta vulnerabilidades en Zoom
El CSIRT de Gobierno comparte información sobre vulnerabilidades que afectan a Zoom.
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT de Gobierno, comparte información sobre vulnerabilidades que afectan a Zoom.
Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.
Vulnerabilidades
CVE-2022-22784
CVE-2022-22785
CVE-2022-22786
CVE-2022-22787
Impacto
Vulnerabilidades de riesgo alto
CVE-2022-22784: Un análisis incorrecto en XML en mensajes XMPP pueden permitir a un usuario malicioso escapar del contexto de los mensajes XMPP y lograr que el cliente del usuario receptor realice una variedad de acciones.
CVE-2022-22786: El cliente de Zoom no chequea correctamente la versión de instalación durante el proceso de actualizado. Esto podría permitir un ataque más sofisticado que logre que el usuario revierta su cliente de Zoom a una versión menos segura.
Productos afectados
Zoom Client for Meetings (para Android, iOS, Linux, macOS, y Windows), versiones anteriores a la 5.10.0.
Mitigación
Instalar las respectivas actualizaciones entregadas por el proveedor.
Enlaces
https://explore.zoom.us/en/trust/security/security-bulletin/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22784
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22785
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22786
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22787
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA22-00646-01.