Zoom trabajando en parches de día cero revelado en el cliente de Windows


Enfocar

Imagen: Zoom, ZDNet

El software package de videoconferencia Zoom está trabajando para reparar una vulnerabilidad de día cero que se reveló en línea hoy en un entrada en el weblog por la firma de ciberseguridad ACROS Stability.

La firma de seguridad dijo que el día cero afecta al cliente de Zoom de Windows, pero solo cuando los clientes se ejecutan en versiones antiguas del sistema operativo Home windows, como Windows 7 y Home windows Server 2008 R2 y anteriores.

Los clientes de Zoom que se ejecutan en Windows 8 o Home windows 10 no se ven afectados, según el CEO de ACROS Security, Mitja Kolsek.

«La vulnerabilidad permite que un atacante remoto ejecute código arbitrario en la computadora de la víctima donde se instala Zoom Shopper para Home windows (cualquier versión actualmente suitable) haciendo que el usuario realice algunas acciones típicas, como abrir un archivo de documento», dijo Kolsek.

«No se muestra ninguna advertencia de seguridad al usuario en el curso del ataque», agregó.

Kolsek dijo que ACROS no descubrió la vulnerabilidad por sí mismo, sino que la recibió de un investigador de seguridad que quería mantener en secreto su identidad.

ACROS informó el día cero a Zoom el día de hoy y lanzó una actualización a su cliente 0patch para evitar ataques para sus propios clientes hasta que Zoom lance una solución oficial. A continuación se encuentra disponible una demostración del día cero que está siendo explotado y luego bloqueado por el cliente 0patch.

(incrustar) https://www.youtube.com/observe?v=uOecns6WEGc (/ incrustar)

ACROS no publicó ningún tipo de detalles técnicos sobre el día cero, pero en una declaración enlatada ZDNet recibido hoy de un portavoz de Zoom, la compañía confirmó la vulnerabilidad y la precisión del informe.

«Zoom toma en serio todos los informes de posibles vulnerabilidades de seguridad. Esta mañana recibimos un informe de un problema que afecta a los usuarios que ejecutan Home windows 7 y versiones anteriores. Hemos confirmado este problema y actualmente estamos trabajando en un parche para resolverlo rápidamente».

Un portavoz de Zoom no pudo comprometerse con un cronograma de cuándo estaría disponible la solución debido a la imprevisibilidad de desarrollar una solución integral sin embargo, un parche está actualmente en proceso.

Días divulgados de día cero después de que finalizó el «congelamiento de funciones»

Después del descubrimiento y la divulgación de varios problemas de seguridad con el servicio de Zoom, el 1 de abril, la compañía detuvo el desarrollo de todas las nuevas características para centrarse únicamente en las mejoras relacionadas con la seguridad y la privacidad y la corrección de errores.

Este período de congelamiento de funciones durante el cual la compañía se enfocó en mejorar la seguridad de la aplicación finalizó el 1 de julio de la semana pasada.

Días antes, el 24 de junio, Zoom también contrató a un nuevo Director de Seguridad de la Información (CISO) en Jason Lee, quien anteriormente se desempeñó como Vicepresidente Senior de Operaciones de Seguridad de Salesforce.

Durante su período de congelación de características, Zoom también contrató a Luta Safety para ayudar a la empresa a establecer un programa profesional de recompensas por errores. Zoom y Luta Protection terminaron su colaboración el día de la contratación de Lee.



Enlace a la noticia primary