Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
La falla consiste en una mala implementación de autorización que permite a un adversario explotar funciones de la SDK para realizar operaciones sin los permisos apropiados, por ejemplo acceder a sesiones de reuniones o manipular datos de sesión.
Recursos afectados
- Zoom Workplace / Meeting SDK para Android en versiones anteriores a 6.4.13 (incluyendo 6.4.5) en las que la autorización no es verificada adecuadamente.
- Dispositivos Android que ejecuten aplicaciones que utilizan esta versión vulnerable de la SDK.
Solución
Actualizar la SDK afectada a la versión corregida proporcionada por el fabricante (Zoom) que incluye la verificación adecuada de los permisos y la autorización. Consultar el boletín de seguridad oficial de Zoom para el número de versión exacto y aplicar el parche lo antes posible.
Recomendaciones
- Verificar si su aplicación o entorno utiliza la Zoom Workplace/Meeting SDK afectada para Android.
- Aplicar inmediatamente la actualización/patch que corrija la versión vulnerable.
- Limitar el acceso y privilegios a nivel de dispositivo para las aplicaciones que utilizan el SDK.
- Monitorear actividad inusual en sesiones de reuniones o acceso a datos de sesión que podrían ser resultado de explotación.
- Incluir esta vulnerabilidad en su registro de gestión de vulnerabilidades y asegurar que los futuros parches se apliquen de forma controlada y documentada.
Referencias