O Zoom está lançando uma grande atualização de segurança para sua plataforma de videoconferência. A atualização corrige várias vulnerabilidades, incluindo alguns problemas de alta gravidade descobertos por pesquisadores de segurança do Google Project Zero.
Uma das vulnerabilidades corrigidas com esta atualização permitia a execução remota de código. O envio de uma mensagem especialmente criada permitiu que um agente mal-intencionado enganasse os usuários do Zoom para se conectarem a um servidor intermediário sem que eles percebessem qualquer anomalia. O invasor poderia então lançar um ataque mais sofisticado. Eles podem falsificar mensagens como se fossem de outro usuário. Talvez eles pudessem controlar todas as mensagens vindas do servidor, bem como do cliente.
Identificado pelo número CVE-2022-22784 de Vulnerabilidades e Exposições Comuns (CVE), esse problema foi relatado pelo pesquisador de segurança do Google Project Zero, Ivan Fratric. “A interação do usuário não é necessária para um ataque bem-sucedido. A única habilidade que um invasor precisa é poder enviar mensagens para a vítima pelo chat do Zoom pelo protocolo XMPP ”, disse Fratric (via).
Com uma pontuação do Common Vulnerability Scoring System (CVSS) de 8,1, esse é um problema bastante sério do qual você gostaria de estar seguro o mais cedo possível. Isso afetou os aplicativos Zoom para Android, iOS, Linux, macOS e Windows. A atualização mais recente (versão 5.10.0) lançada na semana passada corrige isso. Fornecemos o link da Google Play Store para a nova versão no final deste artigo.
A versão 5.10.0 do Zoom também corrige mais alguns problemas de segurança
A atualização mais recente do Zoom também corrige outra vulnerabilidade de alta gravidade descoberta por Ivan Fratric. Identificado pelo número CVE CVE-2022-22786, esse bug impedia que o cliente Zoom verificasse corretamente a versão de compilação de um pacote de instalação durante o processo de atualização. Como tal, um invasor remoto pode enganar um usuário para fazer o downgrade do aplicativo Zoom para uma versão menos segura. Essa vulnerabilidade teve uma pontuação CVSS de 7,5 e afetou apenas o cliente Windows Zoom.
Ivan Fratric também relatou uma vulnerabilidade de gravidade média no Zoom. Ele permitia a falsificação de um usuário enviando seus cookies de sessão no escopo do Zoom para um domínio que não fosse do Zoom. Esse bug afetou os clientes Android, iOS, Linux, macOS e Windows do aplicativo de videoconferência. Rastreado como CVE-2022-22785, o Zoom corrigiu o problema com a versão 5.10.0.
Por último, mas não menos importante, a atualização mais recente do Zoom corrige outra vulnerabilidade de gravidade média que permitia que invasores enganassem os usuários durante uma solicitação de troca de servidor. Usuários desavisados podem acabar se conectando a um servidor malicioso em vez do Zoom. Isso abre a possibilidade de um ataque mais grave.
Esse problema recebeu o número CVE CVE-2022-22787. A versão 5.10.0 do Zoom é corrigida para Android, iOS, Linux, macOS e Windows. Você pode clicar no botão abaixo para baixar a versão mais recente do aplicativo Zoom para seu smartphone Android na Google Play Store.
BAIXAR ZOOM
