La vulnerabilidad de seguridad sin parche permite revelar el contenido de las aplicaciones que no se comparten, pero solo brevemente, lo que dificulta su explotación en la naturaleza.
Se ha descubierto una falla de seguridad en el sistema de Zoom, el cual es capaz de filtrar de manera accidental la información privada a otros asistentes en una llamada. El fallo es conocido como CVE-2021-28133, y permite revelar el contenido de las aplicaciones que no se comparten, pero solo brevemente, lo que dificulta su explotación en la naturaleza.
Vale la pena señalar que la funcionalidad de compartir pantalla en Zoom permite a los usuarios compartir una pantalla completa de escritorio o teléfono, o limitar el uso compartido a una o más aplicaciones específicas, o una parte de una pantalla. El problema se debe al hecho de que una segunda aplicación que se superpone a una aplicación ya compartida puede revelar su contenido durante un breve período de tiempo.
"Cuando un usuario comparte una ventana de zoom aplicación específica a través de la funcionalidad 'cuota de pantalla', otros participantes de la reunión pueden ver brevemente contenidos de otras ventanas de aplicaciones que no se compartían de forma explícita," SySS investigadores Michael Strametz y Matthias Deeg señalaron. "El contenido de las ventanas de aplicaciones no compartidas puede, por ejemplo, ser visto por otros usuarios durante un corto período de tiempo cuando esas ventanas se superponen a la ventana de la aplicación compartida y se enfocan".
La falla, que fue probado en las versiones 5.4.3 y 5.5.4 a través de ambos clientes Windows y Linux, se dice que se han dado a conocer a la empresa de videoconferencia el 2 de diciembre de 2020. La falta de una solución incluso después de tres meses se podría atribuir en parte a la dificultad de aprovechar la vulnerabilidad.
Sin embargo, esto podría tener consecuencias graves dependiendo de la naturaleza de los datos compartidos inadvertidamente, advirtieron los investigadores, agregar un participante malintencionado de una reunión de Zoom puede aprovechar la debilidad haciendo uso de una herramienta de captura de pantalla para grabar la reunión y la reproducción la grabación para ver la información privada.
Cuando se buscó una respuesta, un portavoz de Zoom dijo que está trabajando para abordar el problema. "Zoom toma en serio todos los informes de vulnerabilidades de seguridad", dijo la compañía a The Hacker News por correo electrónico. "Somos conscientes de este problema y estamos trabajando para resolverlo".