Estas nuevas vulnerabilidades en la seguridad de la plataforma te generarán dudas antes de usarla

Las vulnerabilidades les permite a sus atacantes tener acceso a los equipos de sus víctimas.

El equipo de investigación de ciberseguridad, Cisco Talos hizo un descubrimiento preocupante en la seguridad de la plataforma de videoconferencias Zoom. Se trata de vulnerabilidades que le dan la posibilidad de atacar a través de códigos de comprometer el equipo de otro usuario.

Estas vulnerabilidades permiten que los atacantes tengan acceso al equipo de su víctima mediante mensajes específicos que se envían por medio del chat de la misma plataforma.

Al escribir este tipo de mensajes lo que ocurre es que se ejecuta una serie de códigos maliciosos que le da la libertad al atacante de hacer modificaciones en el sistema al cual ha intentado entrar. Las vulnerabilidades se fueron bautizados como CVE-2020-6109 y CVE-2020-6110, las cuales afectan a la versión 4.6.10 de Zoom.

¿Cómo el atacante logra afectar a su víctima?

CVE-2020-6109: Lo que ocurre es que esta versión de Zoom incluye Gifs animados a través del servicio Giphy, a veces a sus usuarios enviar y recibir Gifs mediante el chat. El problema está en que según los investigadores, la aplicación no verifica si un Gifs se envía o no de Giphy, lo que permite enviar los atacantes desde otro servicio bajo su control total y que Zoom guardará automáticamente en la carpeta dentro del directorio de instalación de la herramienta de su víctima, reseña el sitio especializado en ciberseguridad, Welivesecurity.

Esto quiere decir que el atacante simplemente lo que hace es engañar a la plataforma para guardar archivos maliciosos que simulan ser Gifs fuera del directorio de instalación.

CVE-2020-6110: esta funciona en la manera en que procesa mensajes que incluyen fragmentos de código (fragmentos) que se incluyen mediante el chat de la aplicación. Esta limitación permite al atacante explorar por medio de mensajes identificados para plantar binarios arbitrarios que permiten la ejecución de código malicioso sin tener interacción con la víctima.




.


Source link

BUSCA TAMBIEN

el RB Leipzig recibe en casa al VfL Wolfsburg

15/05/2021 a las 20:30 CEST El próximo domingo a las 20:30 se jugará el partido …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *