Una falla recientemente descubierta en la función de compartir pantalla de Zoom puede filtrar accidentalmente información confidencial a otros asistentes en una llamada, según los últimos hallazgos.
Identificado como CVE-2021-28133 , la vulnerabilidad sin parche permite revelar el contenido de las aplicaciones que no se comparten, pero solo brevemente, lo que dificulta su explotación en la naturaleza.
Vale la pena señalar que la funcionalidad de compartir pantalla en Zoom permite a los usuarios compartir una pantalla completa de escritorio o teléfono, o limitar el uso compartido a una o más aplicaciones específicas, o una parte de una pantalla. El problema se debe al hecho de que una segunda aplicación que se superpone a una aplicación ya compartida puede revelar su contenido durante un breve período de tiempo.
"Cuando un usuario comparte una ventana de aplicación específica a través de la funcionalidad 'compartir pantalla', otros participantes de la reunión pueden ver brevemente contenidos de otras ventanas de aplicaciones que no se compartían de forma explícita," señalaron los investigadores SySS, Michael Strametz y Matthias Deeg . "El contenido de las ventanas de aplicaciones no compartidas puede, por ejemplo, ser visto por otros usuarios durante un corto período de tiempo cuando esas ventanas se superponen a la ventana de la aplicación compartida y se enfocan".
La falla, que fue probado en las versiones 5.4.3 y 5.5.4 a través de ambos clientes Windows y Linux, se dice que se han dado a conocer a la empresa de videoconferencia el 2 de diciembre de 2020. La falta de una solución incluso después de tres meses se podrían atribuir en parte a la dificultad de aprovechar la vulnerabilidad.
Pero no obstante, esto podría tener consecuencias graves dependiendo de la naturaleza de los datos compartidos inadvertidamente, advirtieron los investigadores, agregar un participante malintencionado de una reunión de Zoom puede aprovechar la debilidad haciendo uso de una herramienta de captura de pantalla para grabar la reunión y la reproducción la grabación para ver la información privada.
Cuando se buscó una respuesta, un portavoz de Zoom dijo que está trabajando para abordar el problema. "Zoom toma en serio todos los informes de vulnerabilidades de seguridad", dijo la compañía a The Hacker News por correo electrónico. "Somos conscientes de este problema y estamos trabajando para resolverlo".