Zoom va emetre un avís de seguretat urgent sobre una fallada en el client Zoom que podria permetre a un usuari obtenir privilegis de nivell superior i accés per als quals no està autoritzat.
Clients de Zoom i rols d’usuari
El client web de Zoom és el que fan servir els usuaris per accedir a una reunió.
L’autorització inadequada en un client de Zoom és una fallada de seguretat que permet als usuaris accedir a funcionalitats o dades per a les quals no estan autoritzats en funció dels nivells de privilegis d’usuari assignats.
Hi ha tres nivells d’accés anomenats rols d’usuari a Zoom. Els rols d’usuari defineixen si un usuari té els privilegis necessaris per realitzar accions concretes o accedir a diversos recursos de dades.
Els tres nivells són:
- Propietari: nivell de privilegi més alt que té accés a tot
- Administrador: pot afegir, eliminar o editar usuaris i gestionar les funcions del compte.
- Membres: el rol d’usuari més baix. Només pot gestionar la seva pròpia configuració de perfil
Clients de Zoom: autorització incorrecta
L’alerta de seguretat de Zoom va advertir que els usuaris poden augmentar els seus privilegis de rol d’usuari.
Segons l’avís de seguretat:
“L’autorització incorrecta en alguns clients de Zoom pot permetre a un usuari autoritzat dur a terme una escalada de privilegis mitjançant l’accés a la xarxa”.
Aquesta vulnerabilitat es mitiga fins a cert punt, ja que primer s’ha d’autoritzar un usuari a la xarxa per passar al següent pas d’augmentar els privilegis d’usuari. Pot ser per això que el problema de seguretat s’ha assignat una puntuació de gravetat de mitjana amb una puntuació de 5,5/10.
Llista de clients de Zoom afectats
- Zoom Desktop Client per a Windows abans de la versió 5.16.0
- Zoom Desktop Client per a macOS abans de la versió 5.16.0
- Aplicació mòbil Zoom per a iOS abans de la versió 5.16.0
- Aplicació mòbil Zoom per a Android abans de la versió 5.16.0
- Client d’escriptori Zoom per a Linux abans de la versió 5.16.0
- Zoom Rooms Client per a Windows abans de la versió 5.16.0
- Client de Zoom Rooms per a macOS abans de la versió 5.16.0
- Client Zoom Rooms per a Android abans de la versió 5.16.0
- Client de Zoom Rooms per a iPad abans de la versió 5.16.0
- Client Zoom VDI abans de la versió 5.16.0 (excepte 5.14.13 i 5.15.11)
- Zoom Meeting SDK per a Windows abans de la versió 5.16.0
- Zoom Meeting SDK per a iOS abans de la versió 5.16.0
- Zoom Meeting SDK per a Android abans de la versió 5.16.0
- Zoom Meeting SDK per a macOS abans de la versió 5.16.0
- Zoom Meeting SDK per a Linux abans de la versió 5.16.0
Actualitza el client Zoom immediatament
Es recomana als usuaris que actualitzin els seus clients Zoom.
Zoom recomana:
“Els usuaris poden ajudar a mantenir-se segurs aplicant les actualitzacions actuals o descarregant l’últim programari de Zoom amb totes les actualitzacions de seguretat actuals de https://zoom.us/download”.
Llegeix el butlletí de seguretat de Zoom:
Clients de Zoom: autorització incorrecta
Imatge destacada de Shutterstock/Ink Drop
