TLP:CLEAR PAP:WHITE
Boletines de seguridad de Zoom
Descripción
Zoom ha publicado una serie de boletines de seguridad, calificados todos ellos con severidad alta.
ZSB-23015: Verificación insuficiente de la autenticidad de los datos.
Una verificación insuficiente de la autenticidad de los datos en los clientes de Zoom for Windows anteriores a la versión 5.14.0 puede permitir que un usuario autenticado habilite potencialmente una escalada de privilegios a través del acceso a la red.
CVE-2023-34113
ZSB-23014: Validación inadecuada de datos de entrada.
Una validación inadecuada de datos de entrada en el instalador de los clientes de Zoom for Windows anteriores a la versión 5.14.0 puede permitir que un usuario autenticado habilite potencialmente una escalada de privilegios mediante acceso local.
CVE-2023-34122
ZSB-23012: Gestión inadecuada de privilegios.
La gestión inadecuada de privilegios en los clientes de Zoom for Windows, Zoom Rooms for Windows y Zoom VDI for Windows anteriores a la versión 5.14.0 puede permitir que un usuario autenticado habilite potencialmente una escalada de privilegios mediante acceso local. Los usuarios podrían utilizar privilegios de sistema de nivel superior que mantiene el cliente de Zoom para generar procesos con privilegios escalados.
CVE-2023-34120
ZSB-23011: Control de acceso inadecuado en el instalador del cliente de VDI de Zoom.
El instalador del cliente de VDI de Zoom anterior a la versión 5.14.0 contiene una vulnerabilidad de control de acceso inadecuada. Un usuario malintencionado podría eliminar archivos locales sin los permisos adecuados.
CVE-2023-28603
ZSB-23006: Inyección de HTML en cliente de Zoom para Linux.
Los clientes de Zoom para Linux anteriores a la versión 5.13.10 contienen una vulnerabilidad de inyección HTML. Si una víctima inicia un chat con un usuario malintencionado, podría provocar el bloqueo de la aplicación Zoom.
CVE-2023-28598
Una verificación insuficiente de la autenticidad de los datos en los clientes de Zoom for Windows anteriores a la versión 5.14.0 puede permitir que un usuario autenticado habilite potencialmente una escalada de privilegios a través del acceso a la red.
CVE-2023-34113
ZSB-23014: Validación inadecuada de datos de entrada.
Una validación inadecuada de datos de entrada en el instalador de los clientes de Zoom for Windows anteriores a la versión 5.14.0 puede permitir que un usuario autenticado habilite potencialmente una escalada de privilegios mediante acceso local.
CVE-2023-34122
ZSB-23012: Gestión inadecuada de privilegios.
La gestión inadecuada de privilegios en los clientes de Zoom for Windows, Zoom Rooms for Windows y Zoom VDI for Windows anteriores a la versión 5.14.0 puede permitir que un usuario autenticado habilite potencialmente una escalada de privilegios mediante acceso local. Los usuarios podrían utilizar privilegios de sistema de nivel superior que mantiene el cliente de Zoom para generar procesos con privilegios escalados.
CVE-2023-34120
ZSB-23011: Control de acceso inadecuado en el instalador del cliente de VDI de Zoom.
El instalador del cliente de VDI de Zoom anterior a la versión 5.14.0 contiene una vulnerabilidad de control de acceso inadecuada. Un usuario malintencionado podría eliminar archivos locales sin los permisos adecuados.
CVE-2023-28603
ZSB-23006: Inyección de HTML en cliente de Zoom para Linux.
Los clientes de Zoom para Linux anteriores a la versión 5.13.10 contienen una vulnerabilidad de inyección HTML. Si una víctima inicia un chat con un usuario malintencionado, podría provocar el bloqueo de la aplicación Zoom.
CVE-2023-28598
Productos afectados
Clientes de Zoom for Windows anteriores a la versión 5.14.0
Dispositivos de Zoom Rooms for Windows anterior a la versión 5.14.0
Clientes de Zoom VDI Windows Meeting anteriores a la versión 5.14.0
Instalador de Zoom VDI Windows Meeting anterior a la versión 5.14.0
Clientes de Zoom para Linux anteriores a la versión 5.13.10
Riesgo
Alto
Soluciones
Los usuarios pueden ayudar a mantenerse seguros aplicando las actualizaciones en curso o descargando el último software de Zoom con todas las actualizaciones de seguridad vigentes desde https://zoom.us/download.
Referencias
Contacto
Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es