Aplicaciones

Zoom: Estas nuevas vulnerabilidades en la seguridad de la plataforma te generarán dudas antes de usarla

El equipo de investigación de ciberseguridad, Cisco Talos hizo un descubrimiento preocupante en la seguridad de la plataforma de videoconferencias Zoom. Se trata de vulnerabilidades que le dan la posibilidad a un atacante a través de códigos de comprometer el equipo de otro usuario.

Estas vulnerabilidades permiten a los atacantes tener acceso al equipo de su víctima mediante mensajes especialmente diseñados para que se envíen por medio del chat de la misma plataforma.

Al escribirse este tipo de mensajes lo que ocurre es que se ejecutan una serie de códigos maliciosos que le da la libertad al atacante de hacer modificaciones en el sistema al cual ha intentado entrar. La vulnerabilidades se fueron bautizados como CVE-2020-6109 y CVE-2020-6110, las cuales afectan a la versión 4.6.10 de Zoom.

Publicidad

¿Cómo el atacante logra afectar a su víctima?

CVE-2020-6109: Lo que ocurre es que esta versión de Zoom incluye Gifs animados a través del servicio Giphy, permitiendo a sus usuarios enviar y recibir Gifs mediante el chat. El problema está en que según los investigadores, la aplicación no verifica si un Gifs es enviado o no de Giphy, lo que permite a los atacantes enviarlos desde otro servicio bajo su total control y que Zoom guardará automáticamente en la carpeta dentro del directorio de instalación de la herramienta de su víctima, reseña el sitio especializado en ciberseguridad, Welivesecurity.

Esto quiere decir que el atacante simplemente lo que hace es engañar a la plataforma para guardar archivos maliciosos que simulan ser Gifs fuera del directorio de instalación.

CVE-2020-6110: esta funciona en la manera en que procesa mensajes que incluyen fragmentos de código (snippets) que se comparten mediante el chat de la aplicación. Esta vulnerabilidad permite al atacante explorar por medio de mensajes diseñados para plantar binarios arbitrarios que permiten la ejecución de código malicioso sin tener interacción con la víctima.




Síguenos en Google News:Google News

Contenido Patrocinado

Lo Último