El popular servicio de videoconferencia Zoom ha resuelto una vulnerabilidad de alta gravedad que expone a los usuarios a ataques de phishing.
La vulnerabilidad, que tiene una puntuación de gravedad CVSS de 8,8/10, está documentada como un análisis de URL inadecuado en los clientes de Zoom. La vulnerabilidad, rastreada como CVE-2022-28763, afecta a Zoom Client for Meetings para Android, iOS, Linux, macOS y Windows antes de la versión 5.12.2, Zoom VDI Windows Meeting Clients antes de la versión 5.12.2 y Zoom Rooms para Conference Room. para Android, iOS, Linux, macOS y Windows antes de la versión 5.12.2.
Un atacante podría explotar la vulnerabilidad CVE-2022-28763 utilizando una URL de reunión de Zoom especialmente diseñada para redirigir a una víctima a sitios web arbitrarios. Si se abre una URL de reunión de Zoom maliciosa, el enlace malicioso puede dirigir al usuario a conectarse a una dirección de red maliciosa, lo que lleva a ataques adicionales que incluyen tomas de control de sesión.
La semana pasada, Zoom abordó dos vulnerabilidades (CVE-2022-28762 y CVE-2022-28761) que podrían conectarse y controlar las aplicaciones de Zoom que se ejecutan en el cliente de Zoom y evitar que los participantes reciban audio y video que causen interrupciones en la reunión.
Se recomienda a los usuarios de la aplicación que actualicen a la última versión (5.12.2) para mitigar cualquier amenaza potencial que surja de la explotación activa de las vulnerabilidades.
