Zoom corrige falhas de segurança que afetam múltiplas plataformas

O Zoom lançou atualizações para corrigir várias vulnerabilidades que afetam as suas aplicações Workplace em diversas plataformas. A falha mais crítica pode permitir que atacantes injetem scripts maliciosos, comprometendo potencialmente a integridade dos dados dos utilizadores.

Os utilizadores são fortemente encorajados a aplicar as atualizações mais recentes para se protegerem. As vulnerabilidades, detalhadas no Boletim de Segurança do Zoom (ZSB-25013), afetam uma vasta gama de aplicações do Zoom Workplace, incluindo as versões de desktop para Windows, macOS e Linux, bem como as aplicações móveis para iOS e Android.

O VDI Client para Windows, o Zoom Rooms Controller, o Zoom Rooms Client e o Zoom Meeting SDK, em diferentes sistemas operativos, também são afetados.

A vulnerabilidade mais grave é uma falha de cross-site scripting (XSS), com uma pontuação CVSS de 4,6, sendo, por isso, classificada como de gravidade média. Esta vulnerabilidade está presente em algumas versões das aplicações Zoom Workplace.

Um atacante não autenticado, com acesso à rede local, poderá explorar esta falha para injetar scripts maliciosos. A exploração bem-sucedida pode comprometer a integridade dos dados.

Outra vulnerabilidade afeta as aplicações Zoom Workplace para Windows e está relacionada com a inicialização insegura de variáveis pré-definidas. Um utilizador local autenticado pode explorá-la para comprometer a integridade do sistema.

Adicionalmente, foram identificadas várias falhas de desreferenciação de ponteiro nulo nas aplicações Zoom Workplace para Windows. Estas podem ser exploradas por um utilizador autenticado para causar negação de serviço através do acesso à rede.